Article publié à 14h56
La protection des données personnelles ne fait visiblement pas partie des priorités chez les opérateurs télécoms. Trois étudiants de l’université de Sarrebruck (Allemagne) ont récemment fait un test d’accès sur les bases de données MongoDB connectées à Internet. Cette technologie, relativement récente, fait partie des bases de données dites « NoSQL » : beaucoup d’entreprises et d’acteurs du Net commencent à utiliser ces infrastructures, car elles permettent de bien gérer de grosses quantités d’informations. Elles contiennent donc généralement de nombreuses données personnelles.
Après avoir effectué leur test, c’est la surprise : nos trois étudiants – qui viennent à peine de commencer un cursus universitaire en sécurité informatique – découvrent 39.890 bases MongoDB en libre accès sur le Net. Il suffirait d’envoyer une requête pour récupérer tout leur contenu. Parmi ces bases ouvertes figurent celle d’une société allemande d’e-commerce, mais aussi celle d’un « opérateur mobile et fournisseur d’accès Internet français côté en Bourse », avec à la clé les noms, adresses et numéros de téléphones (*) de… huit millions de Français! D’après les étudiants, cette base contenait également un demi-million d’adresses allemandes. Contacté par 01net.com, un porte-parole de l’université nous a confirmé cette trouvaille mais a refusé de nous indiquer de quel opérateur il s’agissait. Question d’éthique !
Découvrir ces bases de données n’a pas été très compliqué. Les trois étudiants ont d’abord effectué une recherche sur Shodan, un moteur qui référence des systèmes mal sécurisés sur Internet. Ce premier scan a livré plusieurs dizaines de milliers de résultats, confirmant leur crainte. Avec l’aide de chercheurs de l’université de Sarrebruck, ils ont alors effectué un second scan, plus précis et basé sur leurs propres outils logiciels, permettant d’obtenir la liste de près de 40.000 bases de données.
Si nos hackers en herbe n’ont pas révélé le nom de cet acteur français ni celui des autres utilisateurs de MongoDB, ils ont en revanche alerté les autorités compétentes en la matière, à savoir la CNIL et l’ANSSI. La plupart des opérateurs hexagonaux utilisent en tout cas cette technologie, à l’image de Bouygues Telecom et d’Orange, tous deux cités sur le site de l’éditeur MongoDB.
Mauvaise configuration
Comment une telle faille est-elle possible ? « Le problème ne se situe pas au niveau de la base de données. Ce sont les administrateurs qui l’ont mal configuré. Souvent, lorsqu’ils installent cette base de données en réseau, elle est ouverte à tous. Il suffit de paramétrer des noms d’utilisateurs et des mots de passe pour limiter l’accès, mais encore faut-il le faire », explique Stefan Nürnberger, chercheur au Centre de sécurité informatique (CISPA) de l’université de Sarrebruck. C’est élémentaire, mon cher Watson…
(*) Article modifié le 12/02/2015: les données en accès libre contenaient non seulement les noms et adresses de 8 millions de Français, mais aussi leurs numéros de téléphone.
Source :
L’analyse des étudiants de l’université de Sarrebruck (PDF)
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.