Apple, Schneider Electric et des clients de l’éditeur d’une plateforme de stockage et de partage de documents Box ont pu être fragiles après une épouvantable configuration par défaut des liens de partage de fichiers. En septembre 2018, l’éditeur en cybersécurité Adversis a déclenché l’alerte auprès de l’éditeur qui avait proclamé des recommandations additionnelles de configuration.

Les clients Box Enterprise disposent de leur propre sous-domaine pour arriver à la plateforme de stockage de document. Les utilisateurs connaissent ainsi partager des fichiers via des liens unique, qu’ils peuvent analyser comme ils le souhaitent. Mais, comme l’a montré l’entreprise de cybersécurité Adversis, ces URL et noms de dossiers peuvent être aisément forcés. « Après avoir identifié des milliers de sous-domaines clients Box à l’aide de techniques standard de quête d’informations et d’une liste de mots proportionnellement longue, nous avons découvert des centaines de milliers de documents et de téraoctets de données affichés sur des centaines de clients » montrent les chercheurs de l’entreprise dans un article.

L’éditeur montre qu’il ne s’agit pas d’un bug ou d’une vulnérabilité mais d’un problème de configuration de la fonction de partage des liens générés. Ces derniers sont publics par défaut. En voyant le bon lien, il était donc possible d’atteindre aux documents d’utilisateurs clients et même de Box en interne ! Adversis a vérifié plusieurs dizaines d’entreprises clientes de l’éditeur fragile à ce problème. Schneider Electrics, Apple, Amadeus, la chaîne de télévision Discovery, ou PointCare, dans les assurances médicales sont concernées d’après nos confrères de TechCrunch.

Accès aux copies de passeport et numéro de sécurité sociale

Le problème date cependant depuis septembre 2018, où Adversis avait averti Box de ces problèmes. De son côté, l’éditeur avait recommandé aux administrateurs des comptes Box de configurer l’accès des liens partagés aux « personnes de votre entreprise », d’accomplir habituellement un rapport de liens partagés pour trouver et gérer ce genre de liens. Box a profité de la publication de l’article d’Advertis pour republier un billet de blog sur comment bien gérer le partage de liens Box en entreprise. Comme en 2018, l’éditeur recommande surtout de ne pas créer ce genre d’URL pour des contenus sensibles… En effet, si Adversis est tombé sur des jeux de données marketing de moindre importance, l’éditeur a aussi pu avoir accès à des centaines de copies de passeports, numéros de sécurité sociale ou de comptes en banques, données IT, listes d’employés, etc.