Les chercheurs en sécurité ont remarqué une augmentation du nombre de bases de données exposées publiquement à Internet, avec 308 000 identifiées en 2021. La croissance s’est poursuivie d’un trimestre à l’autre, culminant au cours des premiers mois de cette année.
Au premier trimestre 2022, le nombre de bases de données exposées a culminé à 91 200 instances, selon des chercheurs de la société de renseignement sur les menaces et de recherche Group-IB dans un rapport partagé avec EZpublish-france.fr.
L’exposition des bases de données sur la face publique d’Internet est souvent due à une mauvaise configuration. Les pirates les recherchent souvent en utilisant les systèmes d’indexation des moteurs de recherche accessibles depuis le Web ouvert pour voler le contenu ou pour l’extorsion financière.
Group-IB a utilisé sa solution Attack Surface Management pour analyser l’ensemble de l’espace IPv4 à la recherche de ports ouverts pertinents pour accéder à une base de données et pour vérifier si les index ou les tables sont disponibles.
Tim Bobak, responsable du produit Attack Surface Management chez Group-IB, a déclaré à EZpublish-france.fr que la solution de l’entreprise se limite à vérifier si la base de données est exposée ou non et qu’elle n’a aucune capacité à collecter ou à analyser le contenu d’une base de données.
Les données de télémétrie recueillies de cette manière ne montrent pas si les bases de données ouvertes sont vulnérables aux failles de sécurité ou si une partie non autorisée y a accédé alors qu’elles étaient exposées sur le Web.
Un problème grandissant
La plupart des instances exposées découvertes par Group-IB se trouvent sur des serveurs basés aux États-Unis et en Chine, tandis que l’Allemagne, la France et l’Inde ont également des pourcentages notables.
En ce qui concerne le système de gestion de base de données utilisé dans les instances exposées, la plupart d’entre eux sont Redis, avec presque le double du deuxième au premier trimestre 2022, MongoDB. Elastic représente une plus petite partie qui se chiffre toujours en dizaines de milliers, tandis que MySQL a enregistré le moins d’instances détectées par Group-IB.
Ces systèmes de gestion ont pris des mesures pour alerter les administrateurs lorsqu’ils configurent des instances pour un accès public sans mot de passe, mais le problème persiste.
Bob Diachenkoun chercheur en sécurité spécialisé dans la sécurité des bases de données, a déclaré à EZpublish-france.fr ce qui suit concernant les mesures de sécurité :
Cela peut être une opinion impopulaire, mais plus les fournisseurs introduisent des mesures sophistiquées pour protéger les bases de données, plus il y a de risques de mauvaise configuration et donc d’exposition involontaire des données.
Le but des bases de données n’est pas seulement de stocker les données mais aussi de permettre un partage immédiat et pratique de ces données, leur analyse par d’autres membres de l’équipe.
De nos jours, de plus en plus de personnes sont impliquées dans les processus de gestion de bases de données et, en fin de compte, elles essaient de faciliter et d’accélérer l’accès – omettre le processus de connexion est donc souvent le moyen le plus simple et le plus évident pour elles.
Malheureusement, il faut en moyenne 170 jours aux administrateurs pour se rendre compte de la mauvaise configuration et résoudre le problème d’exposition, ce qui est plus que suffisant pour que les acteurs malveillants trouvent les instances et siphonnent leur contenu.
Le délai de réparation était de 113 jours au troisième trimestre 2021, mais il s’est aggravé depuis, probablement en raison du fait que le personnel informatique a été submergé par l’expansion rapide des actifs destinés au public.
L’exposition des données entraîne non seulement une perte de confiance des clients et une interruption des activités, mais également des amendes importantes imposées par les bureaux de protection des données pour non-sécurisation des informations sensibles des clients.
Mesures de sécurité
Bobak de Group-IB note que la plupart des problèmes qui affectent la sécurité des bases de données peuvent être facilement évités.
L’année dernière, plus de 50 % de nos engagements de réponse aux incidents découlaient d’une erreur de sécurité évitable basée sur le périmètre. Une base de données publique, un port ouvert ou une instance cloud exécutant un logiciel vulnérable sont tous des risques critiques mais finalement évitables. Alors que la complexité des réseaux d’entreprise ne cesse de croître, toutes les entreprises doivent avoir une visibilité complète sur leur surface d’attaque. – Tim Bobak, Groupe-IB
La sécurité de la base de données peut être assurée si les administrateurs suivent des étapes clés spécifiques lors de la configuration des instances et après les sessions de maintenance. Celles-ci peuvent être résumées dans ce qui suit :
- Assurez-vous que la base de données n’est pas exposée publiquement si ce n’est pas nécessaire.
- Gardez votre système de gestion de base de données à jour pour réduire les failles exploitables.
- Utilisez une authentification utilisateur forte pour accéder à l’instance.
- Déployez des protocoles de cryptage de données solides pour toutes les informations stockées.
- Utilisez des pare-feu de bases de données et d’applications Web utilisant des filtres de paquets, l’inspection de paquets et des proxys.
- Utilisez la surveillance de la base de données en temps réel.
- Évitez d’utiliser des ports réseau par défaut qui exposent les instances à des analyses malveillantes.
- Suivez les pratiques de segmentation des serveurs lorsque cela est possible.
- Conservez des sauvegardes hors ligne de vos données sous forme cryptée.