Un hacker, visiblement maladroit, a supprimé des milliers de base de données MongoDB. Il exige aux victimes un paiement en bitcoins pour restaurer leurs données, et fait planer la menace d'une amende RGPD.

22 900 bases de données laissées sans protection ont été rasées depuis le 30 juin. Lorsque leurs propriétaires regarderont de plus près ce qu’il s’est passé, ils trouveront une note de rançon, rapporte ZDNet.

Le hacker à l’origine du script destructeur exige un paiement de 0,015 bitcoin, soit environ 120 euros. En échange, il prétend qu’il restaurera les données, qu’il a pris le soin de sauvegarder avant la suppression. Il donne 48 heures aux victimes pour s’exécuter, et il ajoute une menace aussi maladroite qu’originale :

« Dans le cas où vous refusez de payer, nous contacterons le Règlement général sur la protection des données (RGPD) et les préviendront que vous stockez des données dans une forme ouverte qui n’est pas sécurisée. Selon les règles de la loi, vous devrez régler une amende lourde ou vous serez arrêtés et vos données seront supprimées de nos serveurs  », écrit-il dans la note de rançon.

Le script du hacker laisse une demande de rançon sur chaque serveur touché. // Source : Louise Audry pour Numerama

Un hacker difficile à prendre au sérieux

Si le RGPD encadre effectivement les fuites de données, les amendes sont loin d’être aussi systématiques que l’espère le cybercriminel. Par exemple, en France, la Cnil précise : « Si l’incident constitue un risque au regard de la vie privée des personnes concernées, vous devrez notifier l’incident à la CNIL. En cas de risque élevé, vous devez également notifier les personnes concernées. » La Cnil peut imposer à l’entreprise concernée d’informer les personnes touchées par la suite, mais elle sanctionne bien plus rarement.

Ensuite, difficile d’imaginer que les autorités des données entrent dans le jeu d’un cybercriminel qui œuvre dans l’anonymat et qui a commis une infraction en volant les données. Ce n’est pas tout : si le hacker veut dénoncer une entreprise, il doit réussir à l’identifier à partir des données qu’il a volées. Ce travail d’attribution de la base de données n’est pas si évident qu’il y paraît, et même s’il aboutissait, il faudrait que les données tombent sous la juridiction européenne. Pour finir, sur les milliers de serveurs touchés, seule une partie contiendra des données personnelles, tandis que d’autres ne contiendront que des données de test sans valeur.

Le script du rançonneur ne fonctionne pas comme prévu

Si la menace du hacker est fantaisiste, ses compétences en informatiques ne semblent pas non plus au niveau. Le chercheur Victor Gevers, de la GDI Foundation, a relevé que dans un premier temps (entre mai et juin), le script de rançonnage ne faisait que se connecter encore et encore aux mêmes bases de données, sans les supprimer, et en laissant à chaque fois la même note de rançon… Le rançonneur en herbe a depuis corrigé le tir, et son script efface les données depuis le 30 juin, comme c’était prévu.

« N’importe quel adolescent pourrait lancer ce genre d’attaque »

Le cybercriminel s’en prend spécifiquement aux bases MongoDB, une technologie qui permet de stocker et d’organiser de gigantesques volumes de données. Les opérations de suppression de bases de données de ce genre sont régulières : concrètement il suffit de l’adresse du serveur, et n’importe qui pourra accéder aux données sans mot de passe. Ce défaut de sécurité apparaît lorsque les administrateurs ne suivent pas correctement les tutoriels de configuration, ou changent involontairement les paramètres de protection. Malgré plusieurs campagnes de prévention et une configuration sécurisée par défaut, les cas de bases ouvertes restent récurrents.ZDNet rappelle qu’environ chaque année, des dizaines de milliers de serveurs MongoDB sont rasés.

Et ce n’est pas la seule technologie concernée. L’Elastic Search — qui permet également d’organiser ses données — a le même genre de problème chronique. Des bases ouvertes sont attaquées par des scripts automatiques qui laissent des demandes de rançon. « Ce genre d’attaque est très courante et facile à mettre en place. N’importe quel adolescent pourrait la lancer en suivant des tutoriels ou en achetant des kits à bas prix  », expliquait à Numerama John Wethington, le cofondateur de Condition Black. Il ajoutait « ces campagnes ne sont pas très efficaces, les victimes n’ont le plus souvent qu’à rétablir leurs sauvegardes. »

Crédit photo de la une : Louise Audry pour Numerama

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux