Près de 40 000 bases de données MongoDB ouvertes à tous

MongoDB, trop utilisé sans configuration soignée ? C’est que la conclusion que l’on est tenté de tirer à la lecture du rapport de Jens Heyens, Kai Greshake, et Eric Petryka. Ces trois étudiants de l’université de la Sarre, à Sarrebruck, ont en effet découvert près de 40 000 instances du populaire système de gestion de bases de données NoSQL accessibles librement sur Internet, « sans outil spécial et sans contourner de mesure de sécurité », au point d’avoir pu y accéder tant en lecture qu’en écriture.

Scan d’adresses IP sur le port TCP 27017 ou utilisation du moteur de recherche Shodan, spécialisé dans les systèmes connectés, les trois étudiants ont identifié des instances MongoDB et cherché à accéder à leur shell. Avec succès pour 39 890 instances. L’une d’entre elle contenait même « une base de données clients d’un opérateurs télécoms français avec environ 8 millions d’entrées ». Les étudiants indiquent avoir alerté l’Anssi, plusieurs Cert, et MongoDB Inc.

Pourquoi ? Parce que selon les auteurs de ce travail de recherche, « les paramètres par défaut de MongoDB sont taillés pour l’exécuter sur la même machine physique ou la même instance de machine virtuelle », en local, donc, avec l’idée que l’ensemble peut être protégé de manière périmétrique – mais là, le système de gestion de bases de données apparaît bien loin d’être un cas isolé.

Reste que « les documentations et recommandations pour configurer des serveurs MongoDB avec accès à Internet ne sont peut-être pas assez explicites lorsqu’il est question de la nécessité d’activer les mécanismes de contrôle d’accès, d’authentification, et de chiffrement des transferts ».

Une légèreté suffisante, selon les étudiants, pour qu’un « administrateur peu expérimenté » configure un serveur Web adossé à MongoDB en laissant une base de données « complètement ouverte et vulnérable telle que n’importe qui peut y accéder, pire, la manipuler ».