MongoDB : des BDD librement accessibles, dont celle d'un opérateur français

On ne le dira jamais assez : RTFM 168
En bref
image dediée
Crédits : Ximagination/iStock/ThinkStock
Securité
Par
le mercredi 11 février 2015 à 12:56
Sébastien Gavois

Un groupe d'étudiant allemand indique que des bases de données MongoDB sont librement accessibles sur Internet. Elles seraient très nombreuses puisqu'il est question de près de 40 000, dont une provient d'un opérateur français, et contiendrait près de 8 millions d'entrées. Contacté par nos soins, le CERT-FR confirme l'information et nous précise que des mises à jour sont en cours.

Des BDD en manque de sécurité laissent fuiter leurs données

Les bases de données comportent de très nombreuses informations sur les sites, mais aussi sur leurs visiteurs, qu'ils soient simplement de passage ou bien qu'ils disposent d'un compte. Elles doivent donc être verrouillées et bien protégées contre les attaques extérieures. Problème, comme vient de l'annoncer un groupe d'étudiants allemands, des bases de données MongoDB sont librement accessibles. Il ne s'agit pas d'une faille liée à MongoDB, mais d'un problème de configuration de ces bases comme nous aurons l'occasion de le voir un peu plus loin.

Elles seraient près de 40 000 à laisser leurs portes grandes ouvertes à n'importe qui et, dans le lot, on y retrouve celle d'un opérateur français. Cette dernière comprendrait près de 8 millions d'entrées, mais le nom de l'opérateur n'est pas (encore) connu, pas plus que le type de données concernées. Il devrait néanmoins l'être à un moment donné puisque, comme le rappel la CNIL, les fournisseurs de services de communications électroniques ont « l'obligation de notifier les violations de données personnelles aux autorités nationales compétentes, et dans certains cas, aux personnes concernées ».

Quoi qu'il en soit, le groupe de chercheurs allemands indique qu'il a contacté le CERT-FR afin de faire part de sa découverte. Contacté par nos soins, le Secrétariat général de la défense et de la sécurité nationale confirme que c'est bel et bien le cas et que les mesures adéquates sont en train d'être prises. De son côté, la CNIL enquête sur le sujet.

MangoDB BDD
Crédits : Cispa

Une faille ? Non, une configuration des plus bancales...

Le plus surprenant dans cette histoire est qu'il ne s'agit pas à proprement parler d'une faille de sécurité, mais plutôt d'une mauvaise configuration lors de la mise en service des bases de données. Par défaut, MongoDB n'autorise en effet que le localhost (127.0.0.1) à se connecter et refuse toute autre demande avec une IP différente. Cette protection prend la forme d'une ligne dans le fichier de configuration par défaut : bindIp: 127.0.0.1. Le problème étant que certains administrateurs modifient ce paramètre, sans prendre en compte toutes les conséquences.

« Une configuration courante pour la plupart des services Internet consiste à avoir un serveur de base de données s'exécutant sur une machine physique, tandis que les services qui utilisent cette base de données (souvent virtualisés) fonctionnant sur une autre machine. Dans ce cas, la solution la plus facile est de placer la ligne bind ip = 127.0.0.1 en commentaire ou bien de la supprimer, ce qui implique dans les deux cas d'accepter toutes les connexions réseau à la base de données. » En pareille situation, le groupe de chercheur recommande de mettre en place au moins deux protections : le chiffrement du trafic ainsi qu'un contrôle d'accès approprié. Les détails de la mise en place sont indiqués ici.

La réaction de MongoDB : RTFM (ou presque) !

De son côté, l'équipe MongoDB a publié un billet de blog dans lequel elle revient sur ce problème de sécurité, qui ne touche finalement pas son système de base de données, mais l'implémentation qui en est faite par des administrateurs. On n'y apprend ainsi pas grand-chose de plus et la société se contente de renvoyer les utilisateurs vers son manuel et sa checklist de sécurité pour plus de détails. Nous aurons bien entendu l'occasion de mettre à jour cette actualité dès que nous aurons eu des détails supplémentaires et de plus amples réponses des différents intervenants.


chargement
Chargement des commentaires...