Analyse d’un piratage MongoDB via la mise en place d’un honeypot

Lors du développement sur une base MongoDB, il arrive assez souvent que des cybercriminels spécialisés dans le rançongiciel s’infiltrent sur le serveur, effacent le contenu de la base de données, puis réclament des bitcoins. À titre personnel, j’ai vu de mes propres yeux un cas réel de ce type au début de l’année 2018, touchant des personnes qui travaillaient sur un projet d’équipe juste à côté de moi. À l’époque, je manipulais moi aussi MongoDB, donc cela m’avait vraiment alarmé, mais je ne savais pas concrètement comment l’intrusion avait eu lieu.

Voici la présentation d’un article qui analyse brièvement les requêtes MongoDB utilisées dans ce type de cybercriminalité, à l’aide d’un honeypot, c’est-à-dire un serveur-leurre volontairement exposé avec des vulnérabilités afin d’attirer les attaquants et d’étudier leurs méthodes. (en coréen) Dès lors qu’un serveur de base de données est accessible depuis l’Internet public, sa présence est vite repérée par scanning, et il semble qu’à partir de là une faille finisse tôt ou tard par permettre une compromission brutale. Une base de données ne devrait décidément jamais être exposée directement et doit être soigneusement dissimulée.

Référence - Le concept de honeypot :

http://www.itworld.co.kr/tags/58302/%ED%97%88%EB%8B%88%ED%8C%9F/120233