Bases de données MongoDB en accès libre sur la toile, 8 millions d’entrées d’un opérateur français concernées

Sur le web

Par Elodie le

C’est le petit cadeau-surprise d’étudiants allemands qui ont levé le lièvre la semaine dernière : des milliers de bases de données MongoDB sont en accès libre sur Internet, avec à la clé des millions de données, dont celles d’un opérateur français qui n’est toujours pas sorti du bois.

crédits Getty images
crédits Getty images

40 000 BDD en accès libre c’est faramineux, d’autant que l’une proviendrait d’un opérateur français et contiendrait 8 millions d’entrées avec autant de données qui peuvent s’avérer sensibles : nom, coordonnées, emails, numéro de carte de crédit, etc. Ces données peuvent être non seulement copiées, mais également modifiées.

Si le CERT-FR (Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques) a été informé de la nouvelle par le groupe de recherche allemand, l’opérateur en question ne s’est toujours pas dévoilé. Ce qui ne devrait pas tarder puisque la CNIL, qui a ouvert une enquête, rappelle que « les fournisseurs de services de communications électroniques [ont] l’obligation de notifier les violations de données personnelles aux autorités nationales compétentes, et dans certains cas, aux personnes concernées. ».

D’autant que dans le cas présent, il n’est pas question d’une quelconque attaque informatique ou faille de sécurité à déplorer chez MongoDB mais d’une mauvaise configuration des administrateurs lors de l’implémentation de ces BDD. Ces derniers ont modifié les accès par défaut (bindIp: 127.0.0.1.), sans prendre en compte toutes les conséquences d’un tel acte. En modifiant cet accès par défaut, ils ont supprimé la restriction d’accès et donc ouvert grand la porte à leur(s) base(s) de données à toute IP qui s’y connecte.

Du côté des opérateurs, Bouygues Télécoms a assuré à 01net qu’il ne s’agissait pas de ses bases de données. Tous les regards se tournent vers Orange qui n’a pas communiqué là-dessus.