Cognyte a rassemblé plus de 5 milliards de noms, adresses email, adresses physiques et mots de passe dans une seule base de données. Le problème, c'est qu'elle l'a très mal sécurisée.

5 milliards d’entrées, réunies dans une seule base de données, elle-même exposée à tout Internet sans protection. Voilà la jolie boulette commise par l’entreprise israélienne Cognyte. Heureusement, elle a pu la réparer le 2 juin 2021, 3 jours après avoir été avertie par des chercheurs de Comparitech.

Chacune des 5 milliards d’entrées contient un lot d’informations diverses, parmi lesquelles des noms, des adresses, des mots de passe ou encore des adresses email. La particularité de ces données ? Elles proviennent elles-mêmes de fuites récupérées par Cognyte sur des marchés noirs. D’ailleurs, la source de chacune des données — c’est-à-dire l’entreprise d’où provient la fuite initiale — est indiquée dans la base.

Oh la boulette ! // Source : Louise Audry pour Numerama

Cognyte a rassemblé ce trésor d’information pour alimenter son service de «  cyber intelligence », similaire à celui proposé par de nombreuses entreprises du secteur. Concrètement, Cognyte recherche les données de ses clients parmi les informations qui s’échangent dans les milieux cybercriminels et le cas échéant, elle avertit les victimes de la fuite. La découverte de l’incident permet de déclencher un changement de mot de passe, un renforcement des mesures contre les phishings ou encore le lancement de campagnes de prévention en interne.

Cet épisode rappelle celui de la publication de la base surnommée « mère de toutes les fuites » qui avait engendré une panique médiatique. Si la fuite venait à être exploitée, elle ne serait pas très dangereuse. Les données sont en fuite depuis plusieurs mois ou années, et elles ont probablement déjà été exploitées. Reste qu’une partie d’entre elles pourraient encore avoir une certaine valeur, et le travail de collecte de Cognyte pourrait offrir de nouvelles perspectives à une poignée de cybercriminels (s’ils ont réussi à se procurer la base avant la réparation de la fuite).

Une erreur classique expose 5 milliards de données

Pour faire fonctionner son service de « cyber intelligence », l’entreprise israélienne a accumulé toutes les données qu’elle a récupérées sur un seul et unique serveur ElasticSearch. Grossièrement, cette technologie s’apparente à un fichier Excel géant, qui permet de faire de l’analyse sur de très grands volumes de données. Mais si l’ElasticSearch est réputé pour son efficacité, il est tout aussi célèbre pour les ratés très réguliers de ses utilisateurs.

S’ils ne maîtrisent pas suffisamment la technologie, ils peuvent tout simplement oublier de protéger d’un mot de passe le port 9200 du serveur, de sorte que n’importe quelle personne qui dispose de son adresse IP pourra s’y connecter. Le visiteur aura accès à tout le contenu, et pourra décider de le télécharger ou de l’altérer. Les exemples d’incident sont nombreux : un forum de BDSM, une startup française, un site de voyance ou encore une app de rencontre. Même des géants industriels comme Microsoft ou Razer ont déjà fait l’erreur. Pire, les cybercriminels qui exploitent ces fuites… oublient eux-mêmes de correctement paramétrer leurs serveurs.

Il est hautement probable que la base a été téléchargée

Vous l’aurez compris, cet écueil est récurrent et donc bien connu des malfaiteurs comme des chercheurs en cybersécurité, au point que certains construisent leur carrière autour de la recherche de ce type de fuite. Résultats : d’après une expérience menée par Comparitech, un serveur est visité moins de 10 heures après qu’il ait été exposé, et quelques jours plus tard, des centaines de personnes y sont passées. C’est pourquoi même si Cognyte ne peut identifier si des malfrats ont profité de leur fuite, c’est une forte possibilité.

Après un certain temps d’exposition du serveur, des moteurs de recherche gratuits (le plus connu étant Shodan) finissent par l’indexer. C’est ainsi que Comparitech a trouvé le serveur de Cognyte le 29 mai, un jour après qu’il soit apparu sur les moteurs de recherche. Passée cette étape, la probabilité que personne n’ait vu la fuite s’avère extrêmement réduite.

Crédit photo de la une : Le dîner de cons

À propos de CyberGhost

CyberGhost, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium aux tarifs accessibles. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. CyberGhost ne conserve aucune trace de l'activité des utilisateurs. Son application VPN est disponible sur tous les systèmes d’exploitation et appareils connectés et se révèle la plus facile d'accès du marché.

En savoir plus sur la solution VPN de CyberGhost

Partager sur les réseaux sociaux