Varonis debuts trailblazing features for securing Salesforce. Learn More

Introduction de l'automatisation du moindre privilège pour Microsoft 365, Google Drive et Box

En savoir plus
Blog Sécurité des données

Les dangers des liens partagés

Par Norman Girard, Vice Président Europe de Varonis Juin 2013 – De nombreuses applications web donnent aux utilisateurs la possibilité de partager des informations privées avec des utilisateurs non authentifiés...
David Gibson
5 minute de lecture
Dernière mise à jour 6 octobre 2023

Contenu

    Par Norman Girard, Vice Président Europe de Varonis

    Juin 2013 – De nombreuses applications web donnent aux utilisateurs la possibilité de partager des informations privées avec des utilisateurs non authentifiés à travers des URL obscures et accessibles au public.  Ces URL, souvent appelées « liens externes » ou « liens partagés », sont un moyen pratique permettant de collaborer avec des personnes sans leur donner un nom d’utilisateur et un mot de passe.

    Mais comment le monde peut-il être en sécurité si les URL sont publiquement accessibles ?

    En générant une URL qui n’est pas un lien hypertexte, qui n’est pas explorable par les moteurs de recherche et qui n’est pas facile à deviner par des humains ou des ordinateurs (voir plus de détails plus loin), vous pouvez être un peu plus confiant sur le fait que seules les personnes qui reçoivent le lien partagé peuvent accéder à vos données.  C’est une forme de sécurité dans l’obscurité.

    Vous avez probablement trouvé la possibilité de créer des liens partagés dans la plupart de vos applications préférées telles que Evernote, Dropbox, Trello, Github, etc.

    J’aime vraiment la façon avec laquelle Google Docs décrit sa fonction de lien partagé:

    Sharing Settings

    De nombreuses applications sont loin d’être aussi claires que Google lorsqu’elles expliquent à l’utilisateur final ce qu’elles font en créant et distribuant un lien partagé.

    Ça a l’air génial !  Qu’est-ce qui pourrait mal tourner ?

    Il y a quelques facteurs essentiels qui sont indispensables à la sécurité des liens partagés et des données vers lesquelles ils pointent. Le premier est sans doute assez évident : nous devons être confiants que la personne avec laquelle nous partageons le lien ne passera pas ce dernier à quelqu’un d’autre, que ce soit intentionnellement ou non.  Le deuxième, que j’ai mentionné plus tôt, est celui selon lequel l’URL est si obscure qu’elle n’est pas facile à deviner par un humain ou par un ordinateur.

    Qu’entendons-nous exactement par obscure et pas facile à deviner ? Tout comme l’on nous encourage à créer des mots de passe solides, les liens partagés doivent également être solides.  Nous devons empêcher quiconque d’écrire un script qui tente d’accéder au hasard aux URL des applications Web dans l’espoir d’y trouver quelque chose de précieux.

    L’utilisation de GUID

    GUID signifie « globally unique identifier » (identifiant unique à l’échelon mondial).  Un GUID est une chaîne hexadécimale de 128 bits aléatoires qui ressemble à ceci: 3F2504E0-4F89-11D3-9A0C-0305E82C3301. L’idée est que les GUID sont si nombreux qu’il est très improbable que deux personnes choisissent le même.

    Mais quelle est précisément la probabilité que quelqu’un devine votre lien partagé si il contient un GUID aléatoire ? Si vous générez 1 milliard de GUID par seconde, il vous faudrait 36 années pour produire une collision.

    Si votre application web préférée a créé des liens partagés qui ressemblent à ceci, vous êtes entre d’assez bonnes mains: https://gist.github.com/rsobers/2016e57e0cb00c8e7a2d.

    Donc, tout le monde utilise les GUID, n’est-ce pas ?

    Eh, pas de chance.  Il y a quelques applications web qui, par défaut, génèrent des liens partagés simples et faciles à deviner (par ex.: http://company.example.com/person/1234).  Je ne citerai pas de noms mais inutile de préciser que c’est une pratique horrible qui devrait être évitée.

    Cependant, une pratique beaucoup moins terrible mais néanmoins dangereuse consiste à permettre aux utilisateurs de personnaliser les liens partagés.  Il s’agit d’une fonctionnalité que possède Box et, récemment, l’un de ses utilisateurs s’est tiré une balle dans le pied en changeant la valeur par défaut imprévisible d’un lien partagé pour un document sensible en quelque chose d’extrêmement facile à deviner.

    La réponse électronique de Box visant à sensibiliser ses clients a été très bien faite :

    L’utilisateur ignorait les conséquences du choix de ce réglage en libre accès. Il est plus faciles aux gens de trouver les liens personnalisés que de trouver les chaînes à 20 caractères que Box crée automatiquement pour les liens partagés, il est donc important d’être conscient de ce risque potentiel et d’éduquer les utilisateurs sur l’option, soit de maintenir les niveaux d’accès ouverts, soit de choisir une option différente telle que limitée à un cercle de collaborateurs restreint ou uniquement aux personnes de votre entreprise.

    Amazon S3 permet également aux utilisateurs de nommer leurs propres buckets publics (un bucket est le conteneur de plus haut niveau dans la terminologie d’Amazon S3) et, comme la recherche de Rapid7 l’a montré, non seulement les gens utilisent des noms qu’il est possible de deviner dans leurs URL, mais en plus ils y mettent des tonnes de contenus sensibles (bonjour, motsdepasse.txt !) les croyant introuvables.

    Quels en sont les autres risques ou préoccupations ?

    Robots.txt

    Une autre mauvaise configuration qui pourrait exposer les liens partagés se situe au niveau du fournisseur de l’application. Si le fournisseur effectue une mauvaise configuration de ses fichiers robots.txt (qui indiquent aux moteurs de recherche quels chemins ne pas explorer) et que l’une des pages internes de son application est par inadvertance explorée par Google, vous pouvez voir des informations privées apparaître dans les résultats de recherche publics.

    Cryptage SSL

    Si l’application Web que vous utilisez n’emploie pas le protocole HTTPS pour toutes les requêtes, une personne pourrait détecter sur un réseau Wi-Fi public les liens partagés hors connexion en utilisant une application telle que Firesheep. Même si cette application n’utilise pas le protocole HTTPS, des cybercriminels pourraient simplement voler votre cookie et obtenir l’accès à tout dans l’application et pas seulement aux éléments qu’il est possible d’obtenir à travers les liens partagés.

    Audit des accès

    Nombreuses sont les applications de cloud computing qui ne vous donnent pas de piste d’audit permettant d’avoir un historique des personnes qui accèdent à vos liens partagés.  Cela signifie qu’une personne pourrait accéder à vos liens partagés sans même que vous le sachiez. Comment savez-vous avec certitude que personne n’a découvert vos URL partagées et n’est pas en mesure d’accéder régulièrement à vos données ? Inquiétant, vous ne trouvez pas ?

    Classification des contenus

    Où sont mes données sensibles de toute façon ? L’une des choses que Box a conseillé de faire dans son email de sensibilisation est que les utilisateurs désactivent les accès publics aux données particulièrement sensibles. Mais le fait est qu’avec des giga-octets voir des téraoctets de données, la plupart des organisations n’ont aucune idée de ce qui est sensible. Vous ne pourrez prendre des mesures supplémentaires pour protéger vos données sensibles que si vous savez où elles sont situées.

    Les fournisseurs de cloud computing tels que Box et Amazon numériseront-ils et classeront-ils jamais les contenus pour vous ? Je n’en suis pas sûr, mais cela pourrait être difficile étant donné qu’ils ne devraient probablement pas consulter des données qui ne leur appartiennent pas (et peut-être même ne vous appartiennent pas).

    Destruction de lien

    Que se passe-t-il lorsqu’une personne quitte votre entreprise ? Ou peut-être lorsque vous n’avez plus envie de partager des données avec une personne. Si ces dernières avaient un accès complet à votre système, vous auriez probablement désactivé leur nom d’utilisateur et leur mot de passe, mais s’ils avaient accès à quelques dizaines de liens partagés ? Votre application dispose-t-elle d’un moyen d’expiration ou de destruction de ces liens afin qu’ils ne soient plus valables?

    Réflexions finales

    Les liens partagés sont fabuleux. Je peux partager rapidement des données uniquement avec les personnes avec qui je veux les partager et je n’ai pas à encombrer mon annuaire utilisateur. Mais si utiliser l’obscurité comme moyen de sécurité est mieux que rien, cela n’offre certainement pas une grande protection. Si vous ajouter la probabilité d’une mauvaise configuration utilisateur ou admin due à un manque de compréhension et à des interfaces utilisateurs pauvres, comme nous l’avons vu avec Box et Amazon, les risques sont élevés, par conséquent procédez avec prudence.

    (Remarque : Avec DatAnywhere, les administrateurs peuvent facilement rechercher, trier et désactiver tous les liens partagés. Nous offrons également la possibilité de faire expirer automatiquement des liens partagés après une certaine date. En outre, nous fournissons des liens à codes PIN à usage unique qui ne sont accessibles que par le propriétaire du compte électronique à qui vous avez envoyé le lien partagé.)

     

    The post Les dangers des liens partagés appeared first on Varonis Français.

    What you should do now

    Below are three ways we can help you begin your journey to reducing data risk at your company:

    1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
    2. Download our free report and learn the risks associated with SaaS data exposure.
    3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
    David Gibson
    David Gibson

    David Gibson a plus de 20 ans d'expérience dans les domaines de la technologie et du marketing. Il s'exprime fréquemment sur la cybersécurité et les meilleures pratiques technologiques lors de conférences sectorielles et a été cité dans le New York Times, USA Today, The Washington Post et de nombreuses sources d'information sur la sécurité.

    Testez Varonis gratuitement.
    Un résumé détaillé des risques liés à la sécurité de vos données.
    Stratégie claire vers une remédiation automatisée.
    Déploiement rapide.
    Commencez votre évaluation gratuite Afficher un exemple
    Keep reading
    guide-de-l’acheteur-de-dspm
    Guide de l’acheteur de DSPM
    guide-de-l’acheteur-de-dspm
    Rob Sobers
    13 mars 2024
    Comprenez les différents types de solutions DSPM, évitez les pièges les plus courants et posez les bonnes questions pour vous assurer que vous achetez une solution de sécurité des données qui répond à vos besoins spécifiques.
    derrière-la-refonte-de-la-marque-varonis
    Derrière la refonte de la marque Varonis
    derrière-la-refonte-de-la-marque-varonis
    Courtney Bernard
    20 février 2024
    Découvrez la stratégie derrière la refonte de Varonis qui impliquait une transition complète vers un archétype de héros et l'introduction de Protector 22814.
    tendances-en-matière-de-cybersécurité-pour 2024 :-ce-que-vous-devez-savoir
    Tendances en matière de cybersécurité pour 2024 : ce que vous devez savoir
    tendances-en-matière-de-cybersécurité-pour 2024 :-ce-que-vous-devez-savoir
    Lexi Croisdale
    25 janvier 2024
    Apprenez-en davantage sur la gestion de la posture en matière de sécurité des données, les risques liés à la sécurité de l’IA, les changements en termes de conformité et bien plus encore pour préparer votre stratégie en matière de cybersécurité pour 2024.
    trois façons-dont-varonis-vous-aide-à-lutter-contre-les-menaces-internes
    Trois façons dont Varonis vous aide à lutter contre les menaces internes
    trois façons-dont-varonis-vous-aide-à-lutter-contre-les-menaces-internes
    Shane Walsh
    14 novembre 2023
    Les entreprises ont du mal à lutter contre les menaces internes. Pour lutter contre elles, Varonis s’appuie sur la « triade de la sécurité des données » (sensibilité, accès et activité).