Sécurité : La vague d’attaques contre Microsoft Exchange a beau avoir révélé les risques pesant sur l’intégrité des bases de données, l’application de correctifs n’est pas toujours simple – notamment en France.
Une étude menée sur une durée de cinq ans a abouti ce mardi à une conclusion qui donne à réfléchir aux entreprises utilisant des bases de données hébergées sur site : près de la moitié d’entre elles présentent des vulnérabilités susceptibles d’être exploitées.
Selon une étude réalisée par Imperva, sur la base d’environ 27 000 bases de données et leur niveau de sécurité, révèle qu’au total, 46 % des bases de données sur site dans le monde prises en compte dans l’analyse contenaient des vulnérabilités connues. En moyenne, chaque base de données contenait 26 failles de sécurité, dont 56 % étaient classées comme des vulnérabilités de gravité « élevées » ou « critiques » – notamment des vulnérabilités d’exécution de code qui peuvent être utilisées pour détourner une base de données entière et les informations qu’elle contient. Il suffit, dans certains cas, d’un scan sur Shodan pour trouver une cible et exécuter une charge utile malveillante.
« Cela indique que de nombreuses organisations ne donnent pas la priorité à la sécurité de leurs données et négligent les exercices de correction de routine », font valoir les équipes Imperva. « D’après les analyses d’Imperva, certaines CVE n’ont pas été corrigées depuis trois ans ou plus. » A ce petit jeu, la France se révèle la pire, contrevenant pour les bases de données non protégées, avec 84 % de celles scannées contenant au moins une vulnérabilité – et le nombre moyen de failles par base de données était de 72.
Plusieurs précédents
L’Australie suit, avec 65 % (20 vulnérabilités par base de données en moyenne), puis Singapour (64 %, 62 en moyenne), le Royaume-Uni (61 %, 37 en moyenne) et la Chine (52 %, 74 en moyenne). Au total, 37 % des bases de données aux Etats-Unis contenaient au moins une vulnérabilité connue, et ces bases contenaient en moyenne 25 failles de sécurité.
Le piratage de Microsoft Exchange Server a mis en évidence les conséquences d’une sécurité insuffisante pour les serveurs sur site ainsi que pour leurs propriétaires. En mars, Microsoft a publié des correctifs d’urgence pour résoudre quatre « zero-days » – connus collectivement sous le nom de ProxyLogon – mais une fois le code d’exploitation développé et publié, des milliers d’entreprises ont été compromises.
Parmi les autres nouvelles récentes concernant la sécurité des bases de données, une vulnérabilité critique affectant Cosmos DB a été rendue publique en août. La vulnérabilité, décrite comme « triviale » à exploiter par la société de sécurité du cloud WIZ, donne à « tout utilisateur Azure un accès administrateur complet (lecture, écriture, suppression) aux instances Cosmos DB d’un autre client sans autorisation ».
Source : ZDNet.com