Ce n’est pas une alerte, c’est un cri d’alarme. Dans une récente note de blog, le chercheur en sécurité John Matherly montre à quel point les bases de données sont gérées de manière laxiste. Et pas n’importe lesquelles. Il a détecté près de 4.500 bases dédiées au Big Data et accessibles en ligne sans aucune authentification. Un rapide script exécuté sur Shodan.io, le moteur de recherche pour hackers, lui permet d’estimer l’ampleur du problème. Ces bases de données, qui utilisent la technologie de stockage distribuée Hadoop, totalisent plus de… 5000 téraoctets de données. C’est énorme et d’autant plus inquiétant que ces bases peuvent contenir des données personnelles.
La plupart de ces bases de données sont situées aux Etats-Unis (1900) et en Chine (1426). En France, une petite centaine de bases serait concernée, si l’on en juge les résultats de Shodan.
Cette situation préoccupante s’explique par le fait que les administrateurs de ces bases de données utilisent la configuration par défaut, sans authentification. C’est bête, mais c’est comme ça. Evidemment, les pirates sont déjà à l’œuvre. Parmi les 4500 bases de données Hadoop, 219 ont été purement et simplement effacées, l’action étant signée avec un fichier vide intitulée « NODATA4U_SECUREYOURSHIT ». Nous voilà prévenus. En France, 9 bases de données Hadoop ont subi ce même sort jusqu’à présent.
Hécatombe auprès des bases MongoDB
Ce n’est pas la première fois que la sécurité d’accès des bases de données est pointée du doigt. En 2015, John Matherly avait déjà lancé une alerte similaire pour les bases de données de type MongoDB, qui sont également utilisées pour des applications Big Data. Toutefois, l’ordre de grandeur est totalement différent. Environ 50.000 bases MongoDB sont accessibles sur le Web, mais elles n’exposent « que » 25 téraoctets. Il faut préciser qu’un grand nombre d’entre elles ont d’ores et déjà été hackées et effacées, à la suite de plusieurs de vagues de ransomwares, comme l’avait relaté le site CSOonline.com.
Les pirates récupèrent les données, effacent toutes les données de la base et la renomme avec un nom explicite de type « WRITE-ME », « WARNING », « WE_HAVE_YOUR_DATA », etc. En janvier, les infections ont été analysés dans un document Google dans lequel on voit qu’il y a eu plus de 41.000 bases MongoDB attaquées en l’espace de quelques semaines. Elles étaient accompagnées d’une demande de rançon comprise entre 0,1 et 0,5 bitcoin (soit entre 200 et 1000 euros). Dans le cas des bases Hadoop, en revanche, point de demandes de rançon. Les pirates agissent, visiblement, par simple esprit de destruction.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
