Dropbox a désactivé les liens d'anciens documents partagés afin d'empêcher que des destinataires involontaires puissent accéder aux fichiers des utilisateurs du service de stockage de fichiers. Avant ce blocage, toute personne en possession d'un lien vers un document partagé Dropbox avait la possibilité d'accéder au fichier lié, mais les documents étaient inaccessibles à ceux qui n'avaient pas ce lien. Cela ne posait aucun problème quand les utilisateurs savaient qui disposait du lien vers le fichier, mais parfois, l'information pouvait tomber involontairement entre d'autres mains. C'est pourquoi, depuis le 5 mai, Dropbox a désactivé les liens des anciens fichiers partagés.

Box.net également concerné par le problème ?  

Dernièrement, Dropbox a fait savoir que ses systèmes avaient été corrigés en conséquence et depuis, tous les nouveaux liens créés sont protégés. Contacté par nos confrères d'IDG NS, le fournisseur a refusé de dire comment il avait résolu le problème. Celui-ci a été révélé par le concurrent de Dropbox, IntraLinks, qui a publié l'information sur son blog Collaborista. Le billet laisse également entendre que le problème affecte un autre service de stockage en ligne, Box.net, mais ce fournisseur n'a pas répondu à une demande de commentaires de la part de nos confrères.

Comme beaucoup d'entreprises, IntraLinks comptabilise les annonces publicitaires liées à des recherches Internet sur sa marque en incluant le nom des marques concurrentes dans ses mots-clés. Les rapports sur ces campagnes montrent quelles recherches ont déclenché les annonces. C'est ainsi qu'IntraLinks a pu voir que certaines recherches étaient générées par des liens partagés Dropbox et dirigeaient vers des documents personnels, comme des dossiers fiscaux complets ou des demandes de prêts hypothécaires, destinés à être partagés avec un conjoint ou un conseiller financier. Le processus par lequel ces liens sont devenus des requêtes de recherche n'est pas un mystère pour quiconque a déjà collé par inadvertance une URL dans la barre de recherche du navigateur, au lieu de la coller dans la barre d'adresse. Le moteur de recherche, qui associe également des publicités aux résultats de recherche pour cette URL, ne fait pas de distingo.

Des liens accessibles aussi depuis l'extérieur

Selon l'expert en sécurité Graham Cluley, « les liens contenus dans les documents partagés peuvent aussi envoyer les URL à des destinataires inconnus ». Si quelqu'un clique sur un lien, le navigateur transmet au serveur Web cible à la fois la page demandée et l'adresse de la page contenant le lien, c'est-à-dire le lien du document partagé lui-même. Ce lien serait alors visible à toute personne ayant accès aux logs du serveur Web, et au minimum, au webmaster, et potentiellement, si le serveur web est mal configuré, à toute personne qui effectue une recherche Internet comportant des mots-clefs figurant dans le fichier log lui-même.

Dropbox recommande aux utilisateurs de son service Dropbox for Business de restreindre l'accès aux documents partagés aux membres de l'équipe. Pour les utilisateurs de son service grand public, le fournisseur invite toute personne qui a besoin de continuer à partager un document dont le lien a été désactivé de recréer un nouveau lien de partage. Box.net n'a fait aucun commentaire sur la question, et n'a pas répondu aux demandes. Cependant, Graham Cluley fait remarquer que les utilisateurs du service avaient déjà un moyen de protéger leurs documents partagés en activant la préférence « restreindre les liens partagés aux seuls collaborateurs ». « Mais ce réglage est désactivé par défaut pour les versions grand public et commerciales du service », prévient-il.