Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

MongoDB : des BDD librement accessibles, dont celle d'un opérateur français

On ne le dira jamais assez : RTFM
Internet 3 min
MongoDB : des BDD librement accessibles, dont celle d'un opérateur français
Crédits : Ximagination/iStock/ThinkStock

Un groupe d'étudiant allemand indique que des bases de données MongoDB sont librement accessibles sur Internet. Elles seraient très nombreuses puisqu'il est question de près de 40 000, dont une provient d'un opérateur français, et contiendrait près de 8 millions d'entrées. Contacté par nos soins, le CERT-FR confirme l'information et nous précise que des mises à jour sont en cours.

Des BDD en manque de sécurité laissent fuiter leurs données

Les bases de données comportent de très nombreuses informations sur les sites, mais aussi sur leurs visiteurs, qu'ils soient simplement de passage ou bien qu'ils disposent d'un compte. Elles doivent donc être verrouillées et bien protégées contre les attaques extérieures. Problème, comme vient de l'annoncer un groupe d'étudiants allemands, des bases de données MongoDB sont librement accessibles. Il ne s'agit pas d'une faille liée à MongoDB, mais d'un problème de configuration de ces bases comme nous aurons l'occasion de le voir un peu plus loin.

Elles seraient près de 40 000 à laisser leurs portes grandes ouvertes à n'importe qui et, dans le lot, on y retrouve celle d'un opérateur français. Cette dernière comprendrait près de 8 millions d'entrées, mais le nom de l'opérateur n'est pas (encore) connu, pas plus que le type de données concernées. Il devrait néanmoins l'être à un moment donné puisque, comme le rappel la CNIL, les fournisseurs de services de communications électroniques ont « l'obligation de notifier les violations de données personnelles aux autorités nationales compétentes, et dans certains cas, aux personnes concernées ».

Quoi qu'il en soit, le groupe de chercheurs allemands indique qu'il a contacté le CERT-FR afin de faire part de sa découverte. Contacté par nos soins, le Secrétariat général de la défense et de la sécurité nationale confirme que c'est bel et bien le cas et que les mesures adéquates sont en train d'être prises. De son côté, la CNIL enquête sur le sujet.

MangoDB BDD
Crédits : Cispa

Une faille ? Non, une configuration des plus bancales...

Le plus surprenant dans cette histoire est qu'il ne s'agit pas à proprement parler d'une faille de sécurité, mais plutôt d'une mauvaise configuration lors de la mise en service des bases de données. Par défaut, MongoDB n'autorise en effet que le localhost (127.0.0.1) à se connecter et refuse toute autre demande avec une IP différente. Cette protection prend la forme d'une ligne dans le fichier de configuration par défaut : bindIp: 127.0.0.1. Le problème étant que certains administrateurs modifient ce paramètre, sans prendre en compte toutes les conséquences.

« Une configuration courante pour la plupart des services Internet consiste à avoir un serveur de base de données s'exécutant sur une machine physique, tandis que les services qui utilisent cette base de données (souvent virtualisés) fonctionnant sur une autre machine. Dans ce cas, la solution la plus facile est de placer la ligne bind ip = 127.0.0.1 en commentaire ou bien de la supprimer, ce qui implique dans les deux cas d'accepter toutes les connexions réseau à la base de données. » En pareille situation, le groupe de chercheur recommande de mettre en place au moins deux protections : le chiffrement du trafic ainsi qu'un contrôle d'accès approprié. Les détails de la mise en place sont indiqués ici.

La réaction de MongoDB : RTFM (ou presque) !

De son côté, l'équipe MongoDB a publié un billet de blog dans lequel elle revient sur ce problème de sécurité, qui ne touche finalement pas son système de base de données, mais l'implémentation qui en est faite par des administrateurs. On n'y apprend ainsi pas grand-chose de plus et la société se contente de renvoyer les utilisateurs vers son manuel et sa checklist de sécurité pour plus de détails. Nous aurons bien entendu l'occasion de mettre à jour cette actualité dès que nous aurons eu des détails supplémentaires et de plus amples réponses des différents intervenants.

168 commentaires
Avatar de Leynas INpactien
Avatar de LeynasLeynas- 11/02/15 à 11:57:56

Sauf que c'est MongoDB avec un O.

Leynas.

Avatar de Sfiet_Konstantin Abonné
Avatar de Sfiet_KonstantinSfiet_Konstantin- 11/02/15 à 11:58:27

Des bases de données pleines de mangues. miam !

Avatar de vloz INpactien
Avatar de vlozvloz- 11/02/15 à 11:59:14

Il devrait néanmoins l'être à un moment donné

On peut lancer des pronostiques alors? :)

Avatar de Kowentin INpactien
Avatar de KowentinKowentin- 11/02/15 à 12:02:29

D'autant que les liens sont bons eux ^^

Avatar de Gatsu35 INpactien
Avatar de Gatsu35Gatsu35- 11/02/15 à 12:03:16

Comment sur 1 article on peut écrire MangoDB à la place de MongoDB ? 
Un peu de recherche aurait permis de voir l'erreur, mangoDB n'existant pas sur une recherche google.

Avatar de anonyme_e9710b9f0da191d87895c18d8068aae9 INpactien

Leynas a écrit :

Sauf que c'est MongoDB avec un O.

Leynas.

Gatsu35 a écrit :

Comment sur 1 article on peut écrire MangoDB à la place de MongoDB ? 
Un peu de recherche aurait permis de voir l'erreur, mangoDB n'existant pas sur une recherche google.

A été signalé ;)

Avatar de Charly32 Abonné
Avatar de Charly32Charly32- 11/02/15 à 12:06:52

Oh-Oh, alerte Mongo! Alerte au Mongo les enfants!

Avatar de coolraoul INpactien
Avatar de coolraoulcoolraoul- 11/02/15 à 12:08:52

Comment on signal ? jamais trouvé

Avatar de vloz INpactien
Avatar de vlozvloz- 11/02/15 à 12:10:31

Nan mais il faut s'indigner, c'est important! D'abord Roger Hanin qui decede, puis on apprend que Copé donne des cours à Sciences Po, et maintenant ça!
La France est perdue!!!

Avatar de Groumfy INpactien
Avatar de GroumfyGroumfy- 11/02/15 à 12:11:07

A force de laisser travailler des amateurs sur des projets, on récolte ce qu'on sème...

Il n'est plus possible de commenter cette actualité.
Page 1 / 17