Big Data : les technologies sont déployées, mais pas sécurisées

Une étude montre l’absence de sécurisation des déploiements dans quatre technologies Big Data en vogue : MongoDB, ElasticSearch, Redis et Memcached. La plupart du temps, faute de paramétrages adaptés.

NoSQL = no security ? Les déploiements de technologies nées avec la vague NoSQL – Big Data sont insuffisamment sécurisés, exposant pas moins de 1,1 Po de données dans le monde à une récupération par un tiers en ligne. Et ce uniquement sur 4 de ces technologies nées avec le Cloud.

C’est en tout cas la conclusion de la société suisse spécialisée en sécurité BinaryEdge qui s’est penchée sur les déploiements de Redis, Memcached, MongoDB et ElasticSearch. Selon la firme, l’existence de la plupart de ces failles de sécurité résulte d’erreurs de configuration, plutôt que de vulnérabilités enfouies dans les technologies elles-mêmes. S’y ajoutent les habituelles absences de mises à jour. « Les versions installées sont souvent anciennes ou non mises à jour, écrit BinaryEdge dans un billet de blog. Ce qui signifie que, dans certains cas, non seulement les données sont exposées, mais les serveurs peuvent également être compromis. » Comme le montre la société de sécurité, dans les quatre cas, on trouve à chaque fois une vingtaine de versions différentes déployées, certaines très anciennes, donc renfermant des failles connues.

PME et grands groupes cafouillent

Si BinaryEdge s’est limité à quatre technologies, il les a explorés en détails. Pour la solution de cache et de stockage Redis, la société a ainsi trouvé 35 000 instances ouvertes à toute requête externe, sans authentification. Score à peu près similaire pour MongoDB, avec plus de 39 000 instances exposées sur Internet. Pour Memcached, une technologie de cache souvent employée pour accélérer les sites Web, le total atteint 118 000 instances. Par contre, selon BinaryEdge, ‘seulement’ environ 9 000 instances de l’outil de recherche distribué ElasticSearch sont mal sécurisées. Mais ces dernières exposent pas moins de 530 To de données, près de la moitié du total sur les quatre technologies. « Les entreprises se demandent encore comment utiliser ces technologies », résume la société installée près de Zurich, qui note que les erreurs de configuration concernent tant des PME que de très grandes entreprises.

Problème : si ces tests permettent aux équipes de ces organisations de se familiariser avec ces technologies issues du Web, ils mettent en péril des données sensibles. Notamment les serveurs de cache, dont les données sont souvent renouvelées et qui peuvent exposer des données d’authentification susceptibles d’être réutilisées pour prendre la main sur des services de l’organisation. Dans un entretien avec The Register, un des dirigeants de BinaryEdge assure que sa société s’est limitée, lors de ses tests, à scruter quelques informations sur les instances non sécurisées : version, nom, taille et métadonnées. Un dernier élément qui a tout de même permis de voir passer des noms de bases potentiellement intéressantes (‘patients’ et ‘liste de docteurs’ pour des hôpitaux, ‘argent’ pour des banques, ‘projets’ pour une entreprise de robotique…).

BinaryEdge envisage, à l’avenir, de proposer aux entreprises un service automatisé permettant de scanner la sécurité de leurs déploiements sur des technologies ouvertes.

A lire aussi :

Dans la Silicon Valley : containers et Big Data restent des technologies incontournables
Big Data : ça avance… mais en ordre dispersé
Protection des données personnelles et Big Data : inconciliables, vraiment ? (tribune)

Crédit photo : Ai825 / Shutterstock