Les File Hosting Services affichent des lacunes en matière de confidentialité, selon des chercheurs de la KULeuven et d’autres français.
Les File Hosting Services affichent des lacunes en matière de confidentialité, selon des chercheurs de la KULeuven et d’autres français.
Les File HostingServices (FHS) – tels RapidShare et EasyShare – permettent aux utilisateurs de partager de (volumineux) fichiers avec un groupe restreint de personnes, au choix du propriétaire dudit fichier. Dans ce but, le FHS attribue à chaque fichier chargé un ‘identifier’ unique qui est envoyé à l’utilisateur du FHS sous la firme d’un URI (Uniform Resource Identifier) secret. L’utilisateur peut alors recourir à l’URI pour transférer sélectivement le fichier à des tiers.
Des membres du groupe de recherches DistriNet de la KULeuven, en collaboration avec l’Institut Eurocom de Sophia-Antipolis (France), ont démontré que les FHS génèrent souvent des URI prévisibles, de sorte que des tiers non autorisés peuvent aussi accéder aux fichiers. C’est ainsi que des ‘identifiers’ séquentiels sont souvent simplement attribués aux fichiers. Même des ‘identifiers’ générés aléatoirement se révélaient parfois encore trop faibles (et donc susceptibles d’être piratés). Les mesures des FHS en vue d’éviter les abus, s’avèrent en outre souvent uniquement capables de ralentir ceux-ci, mais pas de les empêcher.
Les chercheurs ont en outre prouvé à l’aide de ‘honeyfiles’ (des documents leurres contenant des infos apparemment intéressantes telles ‘Paypal credentials’) que des personnes mal intentionnées sont déjà au courant de ces lacunes en matière de confidentialité et en abusent vraiment.
Ce qui est intéressant, c’est que les chercheurs ont informé une série de FHS de ces points faibles, et qu’un certain nombre d’entre eux ont effectivement pris des mesures en conséquence. Quoique… L’un d’eux a simplement adapté ses ‘Terms of Service’ en y mentionnant que le FHS ne pouvait garantir la confidentialité des fichiers…
Cs recherches ont été financées en partie par les pouvoirs publics belges, l’IBPT, la KULeuven et l’Union européenne. Les chercheurs ont publié les résultats de leur travail sur in het kader van de ‘4th USENIX Workshop on Large-Scale Exploits and Emergent Threats’.
