Bases de données : près de 40.000 failles découvertes par des étudiants sarrois

2015/02/12 > BE Allemagne 690 > Bases de données : près de 40.000 failles découvertes par des étudiants sarrois

Bases de données : près de 40.000 failles découvertes par des étudiants sarrois

Des étudiants du « Center for IT-Security, Privacy and Accountability » de Sarrebruck (CISPA – Sarre) ont récemment révélé des failles de sécurité portant sur 40.000 bases de données. Ces données, portant sur des entreprises basées en France et en Allemagne, listent des noms, adresses et courriels de millions de clients.

 

 

La cause en est une base de données open source mal configurée, utilisée par de nombreux sites de vente en ligne. Si les opérateurs adoptent les paramètres par défaut de ces bases, les données sont alors disponibles en ligne sans protection. Plus grave encore, ces données peuvent être modifiées. Or le fournisseur de la base de données, MongoDB Inc., est l’un des acteurs majeurs du secteur au niveau mondial. Les étudiants à l’origine de cette découverte ont ensuite interrogé un moteur de recherche public pour identifier les entreprises utilisant ces bases de données non protégées.

Selon le CISPA, les étudiants ont notamment détecté une base de données qui pourrait appartenir à un opérateur français de télécommunication, contenant les adresses et numéros de téléphones de huit millions de clients, en France et en Allemagne. Ils ont également identifié la base de données d’un site de commerce en ligne, comprenant des informations de paiement. Ces données facilitent, pour des personnes mal intentionnées, l’usurpation d’identité en ligne. A ce titre, le CISPA a contacté différentes autorités chargées de la protection des données (les « Computer Emergency Response Teams – CERTs », la Commission nationale de l’informatique et des libertés – CNIL, et le Bureau allemand pour la sécurité de l’information – BSI. Le fournisseur a également été informé des problèmes générés par une mauvaise configuration des bases de données par les entreprises clientes.

Le CISPA, rattaché à l’Université de la Sarre, a été fondé en 2011 par le Ministère fédéral de l’enseignement et de la recherche (BMBF) en tant que centre de compétence pour la cybersécurité. En plus de l’Université de la Sarre, l’Institut Max Planck pour l’informatique (MPII), l’Institut Max Planck pour les systèmes logiciels (MPI-SWS), ainsi que le Centre allemand de recherche sur l’intelligence artificielle (DFKI) travaillent conjointement au sein du CISPA. Avec environ 200 chercheurs, le centre est l’un des plus grands centres de recherche sur la cybersécurité en Europe.

 

Après cette lecture, quel est votre avis ?
Cliquez et laissez-nous un commentaire…

 

Source : http://www.bulletins-electroniques.com/actualites/77892.htm