Serg Nvns - Fotolia

Rapid7 alerte sur les risques d’attaques sur les bases de données

Selon l’éditeur, des attaques majeures sur les bases de données sont à anticiper. A moins que les entreprises ne prennent la peine de les sécuriser correctement.

C’était en tout début d’année. Des pirates s’attaquaient à des instances MongoDB et ElasticSearch, pour les prendre en otage et demander des rançons. Elles étaient directement exposées sur Internet, contrairement aux recommandations. Mais ce n’était peut-être bien qu’un phénomène encore isolé.

Car selon Rapid7, il faudrait aujourd’hui compter avec près de 8,3 millions d’instances MySQL accessibles sur Internet, et plus de 3,4 millions d’instances de SQL Server. Dans son rapport, l’éditeur n’est pas tendre : « ces deux systèmes de gestion de bases de données offrent des protocoles d’authentification et des garanties de chiffrement parfaitement adéquats, mais les services offrent un accès direct à des étrangers aléatoires alors que, en pratique, il n’y a pas de raison à cela. Il n’y a aucun cas où un administrateur de bases de données recommanderait que des utilisateurs anonymes puissent lancer des requêtes ». En France, ce sont plus de 480 000 serveurs de bases de données qui sont exposés en ligne, un niveau qualifié par Rapid7 « d’inconfortablement élevé ».

Mais les systèmes de gestion de bases de données ne sont pas les seuls services exposés en ligne à tous les vents. A travers le monde, Rapid7 a compté près de 10 millions de serveurs telnet, plus de 7 millions de seerveurs RDP, ou encore près de trois millions de serveurs LDAP et plus de 5,5 millions de serveurs SMB exposant leurs services sur Internet.

Après deux semaines de diffusion, Malwarebytes estimait que près de 20 000 systèmes avaient été touchés par WannaCry en France, sur un total d’environ 300 000 dans le monde. Le 16 mai au matin, Shodan trouvait encore plus de 2000 systèmes exposant le service SMBv1 sur Internet, dans l’Hexagone, dont certains sans authentification. Aujourd’hui, Rapid7 annonce environ 10 000 nœuds exposant des services SMB sur Internet, en France.

Au final, l’éditeur classe la France à la 14e position des pays les plus exposés en ligne. C’est mieux que la Roumanie (6) ou l’Irlande (7), mais moins bien que l’Inde (18) ou le Royaume-Uni (37), les Etats-Unis (137) et le Luxembourg (150).

Pour approfondir sur Protection du terminal et EDR

Close