« Un problème de sécurité chez MongoDB, c’est comme un bug dans une collection de données : personne ne s’y attend, et pourtant ça donne toujours matière à réfléchir… et à se reconnecter! » Eh oui, figurez-vous que la grand-messe de la gestion des bases de données a eu un petit hic. MongoDB, le géant new-yorkais que l’on ne présente plus, fait face à une brèche sensible en son sein. Une aventure numérique un peu moins sympathique que celle d’Herbie la Coccinelle, mais reposant également sur un bug !
Imaginez un peu: plus de 46,000 entreprises ivres de data, depuis Adobe jusqu’à Verizon en passant par les fonctionnaires d’outre-Manche, qui se fient à ce tour de contrôle des données que MongoDB incarne. Mais ce week-end, telle une partie de Cluedo technologique, une annonce tardive du samedi vient balancer un pavé dans la mare : il y aurait eu intrusion. Des métadonnées de compte client et de l’information de contact semblent être sorties danser contre leur gré.
Nos détectives du code avaient perçu des mouvements louches dès le mercredi, mais impossible de mettre le doigt sur le chrono du crime. Combien de temps ces petits futés de hackers ont-ils gambadé insoucieusement dans le système avant de se faire choper ? Mystère et boule de gomme, car MongoDB joue la carte du secret professionnel!
« MongoDB reste muet sur la durée de l’accès des hackers à ses systèmes. »
Dimanche, mise à jour du mystère : selon nos compères, Atlas, leur base de données en mode as-a-service, n’aurait pas été effleurée par ce mauvais tour. Ouf! Les nids de données client sont sauves. Et pourtant, il semblerait que les petits hommes verts aient tout de même mis leurs doigts verts sur certains systèmes d’entreprise répertoriant nom, numéro, email… et les logs système d’un client bien chanceux (qui a été briefé, rassurez-vous).
Concernant le nombre de clients impliqués dans cette fuite déconcertante, nos amis chez MongoDB appliquent la devise « moins on en dit, mieux on se porte ». De l’eau a coulé sous les ponts depuis, mais les requêtes n’ont pas toutes trouvé de réponses. Devons-nous leur rappeler les nouvelles règles sévères de la SEC, qui exigent une déclaration des cyber-incidents « matériels » plus vite que leur ombre (ou presque) ?
D’ici là, on nous conseille de garder l’œil ouvert et le clavier en garde : les attaques de phishing et le social engineering, c’est tendance. Et pourquoi pas opter pour cette belle invention qu’est l’authentification multi-facteurs inattaquable par phishing ? Ce n’est pas une exigence chez MongoDB, mais en bons cyber-citoyens, on sait ce qui nous reste à faire !
Et pour finir sur une note indépendante de ce petit vaudeville informatique, MongoDB a aussi subi une recrudescence de tentatives de connexion, semant le trouble parmi les utilisateurs tentant d’accéder à Atlas ou leur portail de support. Coïncidence ? Je ne crois pas !
Source : Techcrunch