Ce n’est pas le système de données MongoDB qui est touché directement, mais la configuration des bases de données. Le mal est pourtant déjà fait, 40 000 bases de données MongoDB sont libres d’accès dont celle d’un opérateur français avec 8 millions d’entrées.

About-40-000-MongoDB-Databases-Found-Open-Online-472747-2

Suite aux déclarations d’un groupe d’étudiants allemands publiées en janvier, on apprend aujourd’hui que les bases de données MongoDB ne sont pas suffisamment protégées, tandis qu’elles sont utilisées par des opérateurs de téléphonie en France. L’enquête suit son cours, et nous ne savons toujours pas quel est l’opérateur français touché. Néanmoins Bouygues Telecom a commencé à s’exprimer et a répondu au média 01Net qu’il ne s’agissait pas de ses bases de données. Les regards visent plutôt l’opérateur Orange, qui n’a pour le moment fait aucune déclaration. En tout cas, c’est grave : noms, adresses, e-mails et numéros de carte de crédit pourraient non seulement être copiés, mais aussi être modifiés.

MongoDB est un système de bases de données, écrit en C++ et distribué sous licence AGPL, un des systèmes les plus utilisés au monde. La faille ne vient pas directement du système, mais provient de son implémentation. En effet, certains administrateurs ont modifié les accès par défaut (bindIp: 127.0.0.1.) sans imaginer les répercussions sur la sécurité. En réalité, « modifié » n’est pas tout à fait le terme approprié : ces administrateurs ont supprimé la restriction d’accès, ce qui permet à toutes les IP de se connecter sans surveillance.