+ Répondre à la discussion Actualité déjà publiée
  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    2 593
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 2 593
    Points : 54 276
    Points
    54 276

    Par défaut Les problèmes de configuration de bases de données sont-ils récurrents ?

    Les données de 13 millions d'utilisateurs de MacKeeper étaient diffusées en clair,
    ce type de problème est-il récurrent ?

    Les utilisateurs de MacBook ou d’iMac reconnaissent sans doute MacKeeper, un logiciel développé par Zeobit (qui a été racheté par Kromtech) et qui se présente comme une suite permettant d’optimiser, nettoyer et sécuriser son système d’exploitation (à partir d’OS X 10.5) avec des outils comme un antivirus, un outil de nettoyage du cache, etc.

    Il y a quelques jours, un chercheur en sécurité, Chris Vickery, a découvert une base de données MongoDB avec les noms et mots de passe hachés en MD5 de 13 millions d'utilisateurs de cette suite logicielle ainsi que d’autres données comme les adresses mail, les numéros de téléphone, les adresses IP, les codes d’activation ou des renseignements sur les licences en cours. Tout ce qu’il a eu à faire, c’est de chercher des bases de données MongoDB accessibles en se servant de l’outil de recherche Shodan.io.


    « Je n’ai jamais entendu parler de MacKeeper ou de Kromtech jusqu’à la nuit dernière. C’est juste que je m’ennuyais et j’ai fait une recherche aléatoire sur le port:27017 », explique-t-il sur Reddit sous le pseudonyme FoundTheStuff. En le faisant, il a eu la surprise de détecter une base de données MongoDB avec 13 millions de comptes utilisateur, accessible sans aucune protection : « aucune authentification n’était requise ».

    Il s’est également inquiété du fait que les mots de passe étaient protégés par un algorithme de hash qui a selon lui présenté ses limites. D’ailleurs, il existe un grand nombre de moteurs pour faire un crack de MD5 qui sont disponibles en ligne.

    Dans un billet, l’entreprise a avancé que : « une vulnérabilité potentielle a été identifiée dans l'accès à notre système de stockage de données. Nous remercions Chris Vickery, chercheur spécialisé en sécurité informatique, d'avoir détecté cette faille sans en rendre publics les détails techniques. Nous avons corrigé le problème quelques heures après son identification. D'après les résultats de l'analyse de notre système de stockage de données, une seule personne est parvenue à s'y introduire : il s'agit de Chris Vickery. Celui-ci nous a confirmé qu'il n'avait pas partagé ni utilisé de données de façon inappropriée ».


    Au-delà de MacKeeper, le plus inquiétant, c’est cette déclaration de Chris Vickery, qui affirme avoir « trouvé, ces deux dernières semaines, pas moins de 25 millions de comptes utilisateur laissés sans protection par différents services en ligne ». Aussi, à la lumière de cet incident, combien d’instances MongoDB qui ne requièrent pas d’authentification sont disponibles publiquement ? Plus de 25 000 selon le même outil utilisé par le chercheur dont plus de 14 000 aux États-Unis, 6000 en Chine, 1500 aux Pays-Bas et 1400 en France.


    Les organisations qui sont le plus concernées sont Digital Ocean, Amazon.com et E.I du Pont de Nemours and Co. Les versions les plus concernées sont la version 3.0.7, plus de 3000 instances, 2.4.9, plus de 2600 instances, 2.4.14, plus de 2500 instances, 2.4.10, plus de 1800 instances et 3.0.6, plus de 1200 instances.

    Le fait que MongoDB 3.0 soit autant représenté signifie que nombreuses sont les personnes qui changent les configurations par défaut des nouvelles versions de MongoDB (par défaut en localhost) et choisissent une solution procurant moins de sécurité. Ou alors les utilisateurs peuvent avoir mis à jour leurs instances en utilisant leurs fichiers de configuration précédents.

    Le problème n’est pas uniquement lié à MongoDB : une recherche sur Shodan.io relatives à Redis, CouchDB, Cassandra ou même Riak permet de voir qu’ils sont également affectés par ces types de mauvaises configurations.

    Source : billet de blog Mackeeper, commentaires Reddit (Chris Vickery sous le pseudonyme « FoundTheStuff »), rapport Shodan, blog Shodan

    Et vous ?

    Qu'en pensez-vous ?

    Voir aussi :

    Piratage de VTech : plus de cinq millions de comptes atteints et leurs données exposées sur internet, parmi lesquelles des photos et des messages

  2. #2
    Membre régulier
    Homme Profil pro
    Inscrit en
    décembre 2012
    Messages
    44
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations forums :
    Inscription : décembre 2012
    Messages : 44
    Points : 123
    Points
    123

    Par défaut

    C'est beau le professionnalisme

  3. #3
    Modérateur
    Avatar de grunk
    Homme Profil pro
    Architecte Web / Android
    Inscrit en
    août 2003
    Messages
    4 192
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 32
    Localisation : France, Côte d'Or (Bourgogne)

    Informations professionnelles :
    Activité : Architecte Web / Android
    Secteur : Industrie

    Informations forums :
    Inscription : août 2003
    Messages : 4 192
    Points : 10 615
    Points
    10 615

    Par défaut

    C'est l'effet de mode nosql , beaucoup ce sont précipité dessus sans trop savoir pourquoi et sans trop y regardé et on se retrouve avec ce genre de problématique.
    J'avais installer un outil à base de mongodb (un backend pour ACRA) qui par défaut n'a pas d'authentification. Si on y prête pas attention on se retrouve avec une belle fuite de données ...
    Pry Framework php5 | N'oubliez pas de consulter les FAQ Java et les cours et tutoriels Java

  4. #4
    Membre éclairé
    Profil pro
    Inscrit en
    décembre 2004
    Messages
    504
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : décembre 2004
    Messages : 504
    Points : 849
    Points
    849

    Par défaut

    Les problèmes de configuration de bases de données sont-ils récurrents ?
    Indépendamment de NoSql ou autre mode, j'aimerais demander aux professionnels qui passent souvent ici si les stagiaires ou apprentis qu'ils emploient ou qu'ils croisent maitrisent les techniques permettant de protéger des BDD, ou tout au moins s'ils en ont déjà entendu parler. Si ce n'est pas le cas, ou quasiment pas (expérience personnelle), comment attendre d'un gamin qui a quelques notions de programmation et qui a compris qu'un truc diffusé dans le store peut rapporter des sous, qu'il respecte les règles sur le sujet ? Et comment attendre d'une vraie entreprise, qui développe pour le même marché et qui compte avant tout arriver première sur le créneau, qu'elle prenne le temps de tout faire briller avant de diffuser (avant de livrer) son produit ?
    Oui, ces problèmes sont récurrents, l'ont été à une période où c'était moins grave, et le seront toujours dans une période ou ce sera pire. La charge nous incombe de limiter le plus possible la diffusion de nos données lorsque ce n'est pas nécessaire.
    L'avis publié ci-dessus est mien et ne reflète pas obligatoirement celui de mon entreprise.

  5. #5
    Membre averti
    Homme Profil pro
    Inscrit en
    décembre 2011
    Messages
    165
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations forums :
    Inscription : décembre 2011
    Messages : 165
    Points : 321
    Points
    321

    Par défaut

    Ces technologies manquent de maturité tout simplement et sont donc "intégrées" souvent de manière amateur, je suis bien placé pr le savoir pr avoir suivi la mep d'une base Cassandra

  6. #6
    Modérateur
    Avatar de grunk
    Homme Profil pro
    Architecte Web / Android
    Inscrit en
    août 2003
    Messages
    4 192
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 32
    Localisation : France, Côte d'Or (Bourgogne)

    Informations professionnelles :
    Activité : Architecte Web / Android
    Secteur : Industrie

    Informations forums :
    Inscription : août 2003
    Messages : 4 192
    Points : 10 615
    Points
    10 615

    Par défaut

    Citation Envoyé par Thorna Voir le message
    Et comment attendre d'une vraie entreprise, qui développe pour le même marché et qui compte avant tout arriver première sur le créneau, qu'elle prenne le temps de tout faire briller avant de diffuser (avant de livrer) son produit ?
    Entre finioler un produit et mettre un mot de passe sur une base de données y'a quand même une marche ^^ , on parle même pas de cryptage des données utilisateurs
    Pry Framework php5 | N'oubliez pas de consulter les FAQ Java et les cours et tutoriels Java

  7. #7
    Expert confirmé
    Avatar de TiranusKBX
    Homme Profil pro
    Développeur C, C++, C#, Python, PHP, HTML, JS
    Inscrit en
    avril 2013
    Messages
    1 307
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 27
    Localisation : France, Seine et Marne (Île de France)

    Informations professionnelles :
    Activité : Développeur C, C++, C#, Python, PHP, HTML, JS
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : avril 2013
    Messages : 1 307
    Points : 4 309
    Points
    4 309
    Billets dans le blog
    6

    Par défaut

    ça ma bien fait marrer !
    ha bon ce n'est pas une blague ?
    Si je passe 1 journée pour configurer un SGBD d'un type jamais rencontré c'est par ce que je m'assure que tout est sécurisé, mais a parement ça passe au dessus de la tête de plein de monde

Discussions similaires

  1. Problème de configuration de base de données Opennms
    Par seco102 dans le forum Supervision
    Réponses: 0
    Dernier message: 09/03/2015, 14h11
  2. Réponses: 3
    Dernier message: 23/09/2011, 21h36
  3. Réponses: 1
    Dernier message: 23/10/2005, 00h55
  4. Problème de sauvegarde de bases de données
    Par Gwipi dans le forum Administration
    Réponses: 2
    Dernier message: 09/09/2005, 08h30
  5. Réponses: 3
    Dernier message: 24/10/2003, 21h46

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo