MongoDB : des BDD librement accessibles, dont celle d'un opérateur français

MongoDB : des BDD librement accessibles, dont celle d’un opérateur français

On ne le dira jamais assez : RTFM

Avatar de l'auteur
Sébastien Gavois

Publié dans

Internet

11/02/2015 4 minutes
168

MongoDB : des BDD librement accessibles, dont celle d'un opérateur français

Un groupe d'étudiant allemand indique que des bases de données MongoDB sont librement accessibles sur Internet. Elles seraient très nombreuses puisqu'il est question de près de 40 000, dont une provient d'un opérateur français, et contiendrait près de 8 millions d'entrées. Contacté par nos soins, le CERT-FR confirme l'information et nous précise que des mises à jour sont en cours.

Des BDD en manque de sécurité laissent fuiter leurs données

Les bases de données comportent de très nombreuses informations sur les sites, mais aussi sur leurs visiteurs, qu'ils soient simplement de passage ou bien qu'ils disposent d'un compte. Elles doivent donc être verrouillées et bien protégées contre les attaques extérieures. Problème, comme vient de l'annoncer un groupe d'étudiants allemands, des bases de données MongoDB sont librement accessibles. Il ne s'agit pas d'une faille liée à MongoDB, mais d'un problème de configuration de ces bases comme nous aurons l'occasion de le voir un peu plus loin.

Elles seraient près de 40 000 à laisser leurs portes grandes ouvertes à n'importe qui et, dans le lot, on y retrouve celle d'un opérateur français. Cette dernière comprendrait près de 8 millions d'entrées, mais le nom de l'opérateur n'est pas (encore) connu, pas plus que le type de données concernées. Il devrait néanmoins l'être à un moment donné puisque, comme le rappel la CNIL, les fournisseurs de services de communications électroniques ont « l'obligation de notifier les violations de données personnelles aux autorités nationales compétentes, et dans certains cas, aux personnes concernées ».

Quoi qu'il en soit, le groupe de chercheurs allemands indique qu'il a contacté le CERT-FR afin de faire part de sa découverte. Contacté par nos soins, le Secrétariat général de la défense et de la sécurité nationale confirme que c'est bel et bien le cas et que les mesures adéquates sont en train d'être prises. De son côté, la CNIL enquête sur le sujet.

MangoDB BDD
Crédits : Cispa

Une faille ? Non, une configuration des plus bancales...

Le plus surprenant dans cette histoire est qu'il ne s'agit pas à proprement parler d'une faille de sécurité, mais plutôt d'une mauvaise configuration lors de la mise en service des bases de données. Par défaut, MongoDB n'autorise en effet que le localhost (127.0.0.1) à se connecter et refuse toute autre demande avec une IP différente. Cette protection prend la forme d'une ligne dans le fichier de configuration par défaut : bindIp: 127.0.0.1. Le problème étant que certains administrateurs modifient ce paramètre, sans prendre en compte toutes les conséquences.

« Une configuration courante pour la plupart des services Internet consiste à avoir un serveur de base de données s'exécutant sur une machine physique, tandis que les services qui utilisent cette base de données (souvent virtualisés) fonctionnant sur une autre machine. Dans ce cas, la solution la plus facile est de placer la ligne bind ip = 127.0.0.1 en commentaire ou bien de la supprimer, ce qui implique dans les deux cas d'accepter toutes les connexions réseau à la base de données. » En pareille situation, le groupe de chercheur recommande de mettre en place au moins deux protections : le chiffrement du trafic ainsi qu'un contrôle d'accès approprié. Les détails de la mise en place sont indiqués ici.

La réaction de MongoDB : RTFM (ou presque) !

De son côté, l'équipe MongoDB a publié un billet de blog dans lequel elle revient sur ce problème de sécurité, qui ne touche finalement pas son système de base de données, mais l'implémentation qui en est faite par des administrateurs. On n'y apprend ainsi pas grand-chose de plus et la société se contente de renvoyer les utilisateurs vers son manuel et sa checklist de sécurité pour plus de détails. Nous aurons bien entendu l'occasion de mettre à jour cette actualité dès que nous aurons eu des détails supplémentaires et de plus amples réponses des différents intervenants.

Écrit par Sébastien Gavois

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Des BDD en manque de sécurité laissent fuiter leurs données

Une faille ? Non, une configuration des plus bancales...

La réaction de MongoDB : RTFM (ou presque) !

Fermer

Commentaires (168)


Sauf que c’est MongoDB avec un O.



Leynas.


Des bases de données pleines de mangues. miam !




Il devrait néanmoins l’être à un moment donné



On peut lancer des pronostiques alors? :)


D’autant que les liens sont bons eux ^^


Comment sur 1 article on peut écrire MangoDB à la place de MongoDB ? 

Un peu de recherche aurait permis de voir l’erreur, mangoDB n’existant pas sur une recherche google.








Leynas a écrit :



Sauf que c’est MongoDB avec un O.



Leynas.









Gatsu35 a écrit :



Comment sur 1 article on peut écrire MangoDB à la place de MongoDB ? 

Un peu de recherche aurait permis de voir l’erreur, mangoDB n’existant pas sur une recherche google.







A été signalé ;)



Oh-Oh, alerte Mongo! Alerte au Mongo les enfants!


Comment on signal ? jamais trouvé


Nan mais il faut s’indigner, c’est important! D’abord Roger Hanin qui decede, puis on apprend que Copé donne des cours à Sciences Po, et maintenant ça!

La France est perdue!!!


A force de laisser travailler des amateurs sur des projets, on récolte ce qu’on sème…


In MySQL we trust <img data-src=" />








coolraoul a écrit :



Comment on signal ? jamais trouvé





Dès que tu scroll un peu la page de l’article, une barre se met en place en haut de ton navigateur avec :




  • Le logo NEXT-Inpact ;

  • Un logo de lettre pour partager le contenu ;

  • Un logo avec un point d’exclamation pour signaler une erreur <img data-src=" />



    <img data-src=" />



    Et là, c’est le moment où tu nous dis : “Ho mon dieu, j’avais jamais vu .___.”.



Hop, une petite correction de la niouze dicrètos…







Gatsu35 a écrit :



Comment sur 1 article on peut écrire MangoDB à la place de MongoDB ?&nbsp;

Un peu de recherche aurait permis de voir l’erreur, mangoDB n’existant pas sur une recherche google.





Ben faut changer de moteur de recherche alors. <img data-src=" />

&nbsphttps://github.com/dcramer/mangodb



Avec des injections en veux-tu en voilà…. Et puis vu que c’est pas une faille… <img data-src=" />








coolraoul a écrit :



Comment on signal ? jamais trouvé







Quand tu descend un petit coup la page de l’article, tu verras qu’en haut apparait une barre avec les éléments suivants :




  • le logo

  • le nombre de partages

  • le logo facebook

  • le logo twitter

  • le logo G+

  • le logo d’envoi par mail

  • le logo avec un panneau et un point d’exclamation, c’est ce dernier à utiliser pour signaler une erreur.



Ne sommes-nous pas aux devants d’un flagrant délit de défaut de non sécurisation ? <img data-src=" />


Pas tout compris…



Si je résume certains admin virent la restriction de connexion par ip. Bien, comme ils le font sur tous les daemons de BDD, que ce soit mysql ou postgre ou sqlserver n’importe quoi….



Sauf que à ma connaissance il y a des user/password pour se connecter à une BDD…. ce n’est pas parce qu’il est possible de se connecter au daemon qu’on peut s’identifier dessus, c’est toute la différence entre une BDD accessible (qui est discutablement une faille de sécu) et une BDD avec “les portes grandes ouvertes” (qui en est une sans conteste).



J’ai du mal à imaginer que la connexion aux BDD d’un grand opérateur puisse s’effectuer via une connexion root sans mdp…








Leynas a écrit :



Sauf que c’est MongoDB avec un O.



Leynas.





Heureusement que ton pseudo, c’est pas “Pov’ con”…



Ricard.



On ne le dira jamais assez : RTFMRage against The Fucking Machine ?


Il faut dire que la réponse de MongoDB est facile avec leur RTFM…

Perso, venant du monde des bases type MySQL (relationnelles donc), la création d’une base de données est souvent soumise à la création d’un user avec un mot de passe associés. Et c’est ultra simple !



Sous MongoDB, pour l’avoir essayé, je peux vous dire que l’aspect autentification est pour le moins … bizarre !

Déjà, juste mettre un “root” est laborieux, car il existe plein de niveau de “root access” ≠ en fonction de côté client, côté sysadmin, côté admin des bdd, …. Alors je ne vous parle même pas des accès “clients”…



On peut créer des bdd à la volée sans avoir d’accès, les scripts type Node.js qui utilisent beaucoup ce type d’approche ! Un des intérêts de MongoDB est que la bdd peut être stockée à côté des fichiers d’une application, mais sans forcément la protéger !



Je vous laisse lire ce billet “HowTo” :http://cwbuecheler.com/web/tutorials/2013/node-express-mongo/

Partie 3 pour la gestion de la bdd… Affligeant de voir que une majorité des apps nodejs utilise cette approche peu sécurisée.



Bref, MongoDB, si tu me lis, simplifie ta gestion des accès !!

Et les SysAdmins, RTFM !!











Fuinril a écrit :



Pas tout compris…





Si je résume certains admin virent la restriction de connexion par ip.

Bien, comme ils le font sur tous les daemons de BDD, que ce soit mysql

ou postgre ou sqlserver n’importe quoi….



Sauf que à ma

connaissance il y a des user/password pour se connecter à une BDD….

ce n’est pas parce qu’il est possible de se connecter au daemon qu’on

peut s’identifier dessus, c’est toute la différence entre une BDD

accessible (qui est discutablement une faille de sécu) et une BDD avec

“les portes grandes ouvertes” (qui en est une sans conteste).



J’ai du mal à imaginer que la connexion aux BDD d’un grand opérateur puisse s’effectuer via une connexion root sans mdp…





Pas mieux :)



Moi, ce qui m’épate le plus, c’est que ces chercheurs recommandent de superbes rustines techniques plus ou moins compliquées, sans se poser la question du fond du problème.



Je cite:

However, a common setup and scalable solution for most Internet services is to have a database server running on one physical machine, while the services using this database service are (often virtualized) running on another machine. In this case, the easiest solution is to comment out the flag […] or to remove it completely, which defaults to accepting all network connections to the database. If access is possible from untrusted machines (e.g., from the Internet) outside the trusted network, it is crucial to also set up transfer encryption and proper access control.



Ben non. Chiffrement et contrôle d’accès au niveau 7, c’est juste regonfler la roue crevée avant d’avoir bouché le trou.&nbsp; “If access is possible from untrusted machines”, c’est juste une bourde d’architecture réseau monumentale. Les deux serveurs (front end & back end) ne communiquent pas à travers l’Internet, mais à travers un réseau local. Le serveur de base de données n’a donc pas besoin d’être accessible depuis l’Internet dans 99,999% des cas.



[EDIT] Retiré un “Problem solved.” final, qui laissait entendre que ce que recommandait les chercheurs était inutile. Ce qui est faux, bien sûr.








Fuinril a écrit :



J’ai du mal à imaginer que la connexion aux BDD d’un grand opérateur puisse s’effectuer via une connexion root sans mdp…





Pourquoi nécessairement root ? Tu donnes les droits à qui tu veux, au groupe que tu veux.



A force de laisser commenter…





Comme expliqué dans l’article il ne s’agit pas d’un problème dans le code de MongoDB , mais d’une mauvaise configuration de la part du dba..

&nbsp;


Comme les commentaires précédent, j’ai l’impression qu’on manque d’infos.



Si ça se trouve il y a un identifiant “passe-partout” qui permet de se connecter une fois la BDD accessible sur internet.


Oui, surtout dans des grands FAI où 42 000 personnes (au pif) ont besoin de la BDD :



 &nbsp;       

- Les employés d'agence ;

- Les SAV Niv'1, 2, etc. ;

- L'administration ;

- Les entreprises tierces ;

- Les services de l'état ;

- Etc.






 Bref, la brèche est potentiellement partout en soit.       






 J'ai été employé en SAV Pro' Orange, et sur la 40aine d'outils que nous utilisions, dont plus de la moitier partagée avec d'autres entreprises pour la sous-traitance, tous utilisaient les dizaines (!) de BDD des utilisateurs sous une forme ou une autre.       






 A partir de là, comme on dit "Il suffit d'une fois" et boum.     













Skywa a écrit :



Comme les commentaires précédent, j’ai l’impression qu’on manque d’infos.




Si ça se trouve il y a un identifiant "passe-partout" qui permet de se connecter une fois la BDD accessible sur internet.









Un identifiant “passe-partout” je ne pense pas, c’est des logiciels Pro’ tout de même <img data-src=" /> C’est pas une backdoor.



Comme beaucoup ici, même si on a pas toutes les infos, je pense plus à des défauts de sécurisation niveau client, genre l’admin’ qui laisse les mdp Root par défaut, ou les stocks en clair à un endroit au pif, etc.



C’est beaucoup plus courant qu’on ne le pense a force de coller des novices sur des postes clés (réalité & expérience du terrain inside …).



Bref, l’affaire d’incompétents plus qu’autre chose surtout (comme souvent).



Le probleme avec Mongo est que la conf par defaut n’est absolument pas securisée et la gestion des utilisateurs est pas super bien branlée.

Sans compter que les docs Mongo sont un peu legeres et n’insistent vraiment pas sur la securisation…



Normalement, on utilise Mongo en local ou alors d’un vlan privé. La securisation se fait au niveau reseau et pas au niveau applicatif.

Mais si tu mets ton cluster Mongo sur des serveurs accessibles publiquement et que tu n’as pas fait l’effort de le securiser alors tu te retrouves dans cette situation…


En partant du principe qu’il y a un dba, parce qu’en fait c’est peut être là l’erreur


+1

&nbsp;

&nbsp;Pour y avoir été confronté aussi le système d’authentification / session est loin d’être aussi trivial à mettre en place que pour d’autre base de donnée, aussi bien coté administrateur du serveur que du coté des développeur qui vont devoir l’utiliser dans leur code.



Pour le coup l’équipe officiel l’a un peu facile de renvoyer à la doc alors que la majorité des tutoriaux et autres&nbsp; démos, à commencer par ceux du site officiel et du blog, laisse cet aspect complètement de coté se contentant de mettre en avant l’effet “waouh” (regardez, c’est facile, puissant, rapide…) en oubliant ce genre de détails.


Par défaut il n’y a ni utilisateur ni mot de passe sur mongodb…&nbsp;

il faut les rajouter manuellement pour activer la restriction d’accès.

Donc si un gugus s’ amuser à retirer la restriction lié au localhost sans activer la protection par utilisateur / mot de passe…


Non, non, la conf par defaut est juste pourrie sous mongo… et les mecs en charge de la base n’ont pas fait l’effort de la securiser.

Pour bien connaitre Mongo, ca ne m’etonne pas du tout…


Oui mais non, CF ma réponse d’au dessus.




Chez Orange, au SAV, notre batiment était connecté à Internet pour le transit des infos clients.      






Alors effectivement c'est chiffré, via un VPN d'entreprise, etc. ; mais internet est tout de même là.      






Et c'est le cas pour énormément de FAI, la faille intervenant presque à 100 % des cas avec les intermédiaire et pas directement sur la BDD à proprement parler.     













KP2 a écrit :



Non, non, la conf par defaut est juste pourrie sous mongo… et les mecs en charge de la base n’ont pas fait l’effort de la securiser. Pour bien connaitre Mongo, ca ne m’etonne pas du tout…







C’est pas le problème de Mongo ça. Il proposent un outil et les boites sont libre de le prendre ou pas. Qu’il soit complexe, pourri, mal documenté ou peu importe au final.



Et à partir du moment où tu prend un outil, tu assume de sécuriser ce qui peut l’être ; et dans notre cas il n’y a appartement pas exploit sur une faille de sécurité, mais sur un manquement à la sécurité.



La faute est, à priori, totalement à imputer aux Admin’ syst/BDD qui n’ont pas fait leur travail ou/et pas été formés par leur boites à ces outils, pas eu les moyens de le faire, etc.









philanthropos a écrit :



C’est beaucoup plus courant qu’on ne le pense a force de coller des novices sur des postes clés (réalité & expérience du terrain inside …).

Bref, l’affaire d’incompétents plus qu’autre chose surtout (comme souvent).







C’est pas forcement un probleme de competence, ca peut aussi etre un probleme dans la gestion de projet…

Un projet informatique est toujours en retard qqpart donc c’est souvent la doc et la securité qui morflent quand il faut grapiller des jours par ci et par la…

L’important est que ca marche donc la securité, on verra ca plus tard… et puis le “plus tard” est encore repoussé car y’a d’autres trucs urgents et enfin le turn over enterre definitivement le probleme…









super_g2 a écrit :



Et les SysAdmins, RTFM !!





Hum, le configuration du moteur c’est un boulot de DBA et non de sysadmin, surtout que pour le coup c’est bien la config moteur qui est en cause et non le système donc non le sysadmin a surement bien fait son job, le DBA par contre certainement moins ;)



Waip, j’ai été la précision dans mon commentaire juste avant.



Mais dans le fond je suis d’accord avec toi, souvent les boites négligent la sécurité, qui est pourtant un poste clé et plutôt couteux.



Tout ce qu’on peut espérer c’est que ça leur apprendra.

Après si le DSI d’une boite ferme les yeux sur ces problèmes, ou si y’a des incompétents dans la chaine technique, c’est les clients qui morflent, c’est surtout ça que je trouve le plus dommageable.


nan mais serieux modifier le fichier de conf pour autoriser d’autres adresses que le local à se connecter, faut vraiment vouloir se mettre sur le bide une enseigne au neon qui clignote “viens quand tu veux ! viens quand tu veux ! viendez nombreux !”



même un étudiant en info sait ca !


Par défaut, à l’installation, il n’y a pas de mot de passe sur une base MongoDB.

Un admin flemmard peu laisser ça comme ça … :)&nbsp;


Je dis pas le contraire mais juste que Mongo n’aide vraiment pas pour etre securisé…

D’ailleurs, les 1eres version n’incluaient meme pas de gestion d’utilsateurs.



Ca n’ote en rien la faute des admins mais ca nuance le propos un peu.


Maintenant on va à l’économie en cherchant des développeurs full-stack MEAN.



Il n’est pas impossible que le développeur et le DBA (et même l’admin SYS <img data-src=" />) soit la même personne&nbsp;<img data-src=" />








Ricard a écrit :



Heureusement que ton pseudo, c’est pas “Pov’ con”…



Ricard.





Jerry.



“Elles seraient très nombreuses puisqu’il est question de près de 40 000, dont une provient&nbsp;d’un&nbsp;opérateur français”





Ne me dites pas que c’est Orange ?



<img data-src=" />


Know your enemy! <img data-src=" />


Apparement il y a un peu plus que 40k (plutot 60k)http://un1c0rn.net/search?q=tags%3Amongo








ActionFighter a écrit :



Jerry.





Canay.



8 millions c’est le nombre d’abonnés à Free Mobile

Coïncidence, je ne pense pas


En effet j’avais jamais vu cette barre <img data-src=" />



C’est a la fois malin et trop avant-gardiste, je pense que me monde n’est pas prêt pour ça xD








julien_d a écrit :



8 millions c’est le nombre d’abonnés à Free Mobile

Coïncidence, je ne pense pas





Donc mes données sont accessibles à tout le monde <img data-src=" />



Merci Free <img data-src=" />



Dire qu’on demande des bac+5 et des certifications pour recruter dans ce métier… alors qu’il suffit de faire un apt-get install et commenter une ligne <img data-src=" />








Folgore a écrit :



In MySQL we trust <img data-src=" />





PostgreSQL: The world’s most advanced open source database <img data-src=" />









KP2 a écrit :



Non, non, la conf par defaut est juste pourrie sous mongo… et les mecs en charge de la base n’ont pas fait l’effort de la securiser.

Pour bien connaitre Mongo, ca ne m’etonne pas du tout…





Tu ne vas pas chercher des excuses à des gars qui devraient être virés <img data-src=" />

Une BDD sans mot de passe c’est au mieux le fouet en place publique, sinon la porte.

&nbsp;









lordzeon a écrit :



Maintenant on va à l’économie en cherchant des développeurs full-stack MEAN.



Il n’est pas impossible que le développeur et le DBA (et même l’admin SYS <img data-src=" />) soit la même personne&nbsp;<img data-src=" />





Waip, c’est souvent le cas le même dans des structure moyennes. L’admin’Sys a une charge de travail juste monumentale alors qu’il n’y ni les compétences, ni le temps et ni les moyens de gérer tout ça de façon correcte.



Souvent il gère le RSX, les BDD diverses, le SiteWeb, les petits problèmes utilisateurs, l’installation/cablage du matériel ; bref c’est l’homme à tout faire au niveau informatique.

Et après on s’étonne que ces boites soient des gruyères sécuritaires x)



Mais bon, de toute façon le SI est un des premier poste d’économie dans une boite, sinon on en arriverait pas à un point où autant de boite se font owned leur BDD d’un coup ; surtout pour défaut de sécurisation.

&nbsp;





ActionFighter a écrit :



Donc mes données sont accessibles à tout le monde <img data-src=" />

Merci Free <img data-src=" />





On va enfin pouvoir prouver tes relations avec les réseaux mafieux pédo-nazi extrèmistes ! Merci Free !









ActionFighter a écrit :



Jerry.





T’as oublié de signer noob.



Bobmoutarde.



zavait qu’à mettre 0.0.0.0 … c’est encore mieux.








Ricard a écrit :



Hop, une petite correction de la niouze dicrètos…







L’article a été corrigé, mais la coquille est toujours visible dans l’url… <img data-src=" />



Leynas.



Après avoir vérifié sur quelque bds de test de notre côté (pas d’infos critiques dessus, c’est juste pour des tests), il semblerait que la conf par défaut de mongodb récupérée via le gestionnaire de paquet Debian autorise l’accès depuis n’importe où à la BD (en fait, il n’y a pas de config du tout, donc pas de filtrage par défaut).



Donc ça ne m’étonnerait pas que beaucoup de ces BDs ait été installées directement depuis un gestionnaire de paquet sans configuration particulière, l’admin pensant que tout serait bloqué par défaut.

Bon ça n’empêche pas que les admins auraient du le vérifier, mais pour le coup les paquets mongodb sur linux devraient être mit à jour…








philanthropos a écrit :



On va enfin pouvoir prouver tes relations avec les réseaux mafieux pédo-nazi extrèmistes ! Merci Free !





Je pas prêt de réessayer les services de téléphone rose de Xavier après ça <img data-src=" />







Bobmoutarde a écrit :



T’as oublié de signer noob.



Bobmoutarde.





Pourquoi tu veux que je signe “noob” ?



Poweruser.










lordzeon a écrit :



Maintenant on va à l’économie en cherchant des développeurs full-stack MEAN.



Il n’est pas impossible que le développeur et le DBA (et même l’admin SYS <img data-src=" />) soit la même personne&nbsp;<img data-src=" />









Je confirme ! Dans mon ancienne boite j’avais 5 casquettes (Téléphonie, Audiovisuel, Sysadmin, Sysdba et chef de projet) ! Bon après je n’ai pas fait d’erreur de ce type&nbsp;<img data-src=" />&nbsp;

Bon après quand ça à changé de DG et que le mec à viré ou fait pression pour faire partir tout les salaire supérieur à 1500€ car il considéré que c’était trop cher payé je vous laisse imaginé les dégâts derrière <img data-src=" />&nbsp;.&nbsp;



Et aujourd’hui je vais dans des boites avec plus de 300 postes et 40 serveurs et c’est d’un bordel. En fait ce n’est pas des cas isolé ce qu’on découvre ici mais le quotidien de beaucoup de boite pour qui l’informatique coute de toute façon toujours trop cher et qu’il n’y a pas d’utilité d’embaucher ou de sous traité pour ça.&nbsp;



Peux-etre que la prochaine génération de PDG n’aura pas la même mentalité. A esperer&nbsp;<img data-src=" />



En testant quelques une de ces ips, un grand nombre ont la protection activée (on peut se connecter, mais impossible de faire une opération si non loggué), donc probablement pas 60K…


Ce que je ne comprend pas c’est :&nbsp;




  • soit ces bases de données sont protégés par un mot de passe. Dans ce cas, il n’y a pas de vrai faille de sécurité, simplement une sécurité un peu légère. La faille rend le bruteforce possible, mais il existe sûrement d’autre mécanismes en place pour l’éviter.&nbsp;

  • soit ces bases dites “compromises” nesont pas protégés par un mot de passe, et dans ce cas ce qui&nbsp;m’étonne&nbsp;c’est que l’article de ne le précise pas.&nbsp;



    Personnellement&nbsp;j’ai utilisé mongoDB pour des projets de cours, la sécurité était une option puisque ce n’était pas&nbsp;destiné à être utilisé en production, mais simplement pour un oral&nbsp;d’examen.&nbsp;&nbsp;


Autre piste véridique (un CG, je peux pas être plus précis mais la il était question de listes très très sensibles)



On t’explique gentiment qu’un sinistre de ce type, ce sera juste 1 à 3 mois de barrouffe dans le presse et puis aprés nada : alors pourquoi se casser le derche à sécuriser ? hein pourquoi ?



Après cegenre de délire ben tu laisses tout par défaut. T’as juste plus le gout.


Je comprends maintenant l’intérêt et l’importance des diplômes pour accéder au monde du travail des professionnels.



Le professionnel certifié: “ Cette ligne elle sert plus a rien je la vire, …”

&nbsp;

Le compétent autodidacte:” Documentation/tutto/forum/ et /join #postgresql “



&nbsp;



&nbsp;



&nbsp;


A moins d’avoir une configuration avec un seul nœud pour une application très basique qui doit être sur le même serveur, il faut forcement ouvrir le port sur d’autres interfaces réseaux tout simplement pour pouvoir établir une connexion avec les autres nœuds en configuration multi-nœuds. Une configuration typique étant constituée de 3 nœuds qui doivent pouvoir communiquer/bavarder.

C’est donc le réseau contenant les bases de données (MongoDB ou autres) qui doit être isolé pour ne pas exposer le port du service à l’extérieur (ceci est vrai pour n’importe quel service interne).

Et a noter que MongoDB propose gratuitement un monitoring optionnel (MMS) qui par défaut lève une alerte si un des nœuds est exposé&nbsp; (port ouvert directement accessible depuis l’internet). Que demander de plus?


Heu, un vrai DBA ne monte pas du MongoDB <img data-src=" />



Citation : “MongoDB est un gadget pour faire plaisir aux développeurs”








ledufakademy a écrit :



Autre piste véridique (un CG, je peux pas être plus précis mais la il était question de listes très très sensibles)




On t'explique gentiment qu'un sinistre de ce type, ce sera juste 1 à 3 mois de barrouffe dans le presse et puis aprés nada : alors pourquoi se casser le derche à sécuriser ? hein pourquoi ?      






Après cegenre de délire ben tu laisses tout par défaut. T'as juste plus le gout.








Ouip, parce que relativement parlant, le coût global de sécurisation d'un SI d'un FAI est beaucoup plus élevé que de sécuriser à minima et prendre des risques.     





Et au final, si un problème arrive, comme tu dis 13 mois de bordel médiatique, et encore à la télé/journaux ça fera 2 jours, les abonnés soit ne le saurons pas/peu, soient s’en foutent souvent, l’état fera un peu chier mais pas plus que ça, et hop.



Alors pourquoi sécuriser x)









pentest a écrit :



Je comprends maintenant l’intérêt et l’importance des diplômes pour accéder au monde du travail des professionnels.




Le professionnel certifié: " Cette ligne elle sert plus a rien je la vire, ..."      

&nbsp;

Le compétent autodidacte:" Documentation/tutto/forum/ et /join #postgresql "









T’as raison oui, c’est vrai qu’un autodidacte saura tout mieux qu’un admin Sys/DBA (correctement) formé <img data-src=" />



J’ajoute que les Tutos/Forums & co’, c’est bien pour des structures petites/moyennes, mais sur des DB de plusieurs millions de personnes, j’ai moyennement confiance dans un forum où il peut potentiellement avoir des erreurs/oublis/etc.



Sans compter que Postgresql c’est cool, mais si tu n’y met pas de MDP ou si tu le stock en clair, ça revient au même.



Comme on tente de l’expliquer, le problème n’est pas vraiment le logiciel en soit, mais le DSI & son équipe derrière.



Je lui fait réciter la documentation par cœur&nbsp; <img data-src=" /> et a la première erreur je le vire. <img data-src=" />








KP2 a écrit :



C’est pas forcement un probleme de competence, ca peut aussi etre un probleme dans la gestion de projet…

Un projet informatique est toujours en retard qqpart donc c’est souvent la doc et la securité qui morflent quand il faut grapiller des jours par ci et par la…

L’important est que ca marche donc la securité, on verra ca plus tard… et puis le “plus tard” est encore repoussé car y’a d’autres trucs urgents et enfin le turn over enterre definitivement le probleme…





L’informatique en France résumée en un paragraphe. GG ! <img data-src=" /> (<img data-src=" />)



Citation de ?


Molière!


d’un DBA.


Moi aussi je suis chez Free Mobile&nbsp;<img data-src=" />

Attendons de savoir quels types de données sont accessibles. Si c’est juste mon nom, mon identifiant client et mon type de forfait, ça peut aller.








agiTed a écrit :



MolièreEinstein!





<img data-src=" />







Groumfy a écrit :



d’un DBA.





Ton DBA est un peu intégriste. MongoDB est une excellente base de données pour des applications où la simplicité de l’infrastructure et de l’applicatif est plus importante que la performance :)



Redis n’est pas donné à tout le monde <img data-src=" />








Citan666 a écrit :



L’informatique en France résumée en un paragraphe. GG ! <img data-src=" /> (<img data-src=" />)







Ça fonctionne aussi pour pas mal d’autres pays.



Leynas.









pentest a écrit :



Je lui fait fais réciter la documentation par cœur  <img data-src=" /> et a la première erreur je le vire. <img data-src=" />







Tu as fait une erreur, on te vire ? <img data-src=" />









Nikodym a écrit :



Redis n’est pas donné à tout le monde <img data-src=" />





C’est pas la base de données des Dieux ?









kras a écrit :



Pareil pour MySQL ou n’importe que BD dont on autorise les accès de toutes les IPs et pas seulement à 127.0.0.1



Une non-information.







Accessible trop facilement pour le coup sous MongoDB :(









julien_d a écrit :



Moi aussi je suis chez Free Mobile <img data-src=" />

Attendons de savoir quels types de données sont accessibles. Si c’est juste mon nom, mon identifiant client et mon type de forfait, ça peut aller.





Et si ce sont tous tes appels et ton historique de data, ça ne va plus ?



Toi, t’as des choses à cacher, c’est louche <img data-src=" />









ActionFighter a écrit :



Et si ce sont tous tes appels et ton historique de data, ça ne va plus ?



Toi, t’as des choses à cacher, c’est louche <img data-src=" />





C’est clair. t<img data-src=" />



Bonjour a touts



Il y a plus information sur le site 01.net concernent les opérateurs mobile français, il est question de ORANGE ou BOUYGUES TELECOM.








GOUPIL-MT a écrit :



Bonjour a touts



Il y a plus information sur le site 01.net concernent les opérateurs mobile français, il est question de ORANGE ou BOUYGUES TELECOM.





En même temps c’est pas compliqué SFR et FREE n’ont pas plus de 8m de clients… <img data-src=" /> :sanschiffre: <img data-src=" />









GOUPIL-MT a écrit :



Bonjour a touts



Il y a plus information sur le site 01.net concernent les opérateurs mobile français, il est question de ORANGE ou BOUYGUES TELECOM.





Visiblement, tu lis aussi bien que tu écris <img data-src=" />





La plupart des opérateurs hexagonaux utilisent en tout cas cette technologie, à l’image de Bouygues Telecom et d’Orange, tous deux cités sur le site de l’éditeur MongoDB.



Rien à voir avec ta formulation qui laisse penser que ces deux opérateurs seraient impliqués dans ces fuites.



Je suis Leynas.<img data-src=" />


désoler <img data-src=" /><img data-src=" />



Je n’est en aucun cas formulé que les deux opérateurs seraient impliqué,&nbsp; j’ai indiquait un peu plus d’information.








GOUPIL-MT a écrit :



désoler <img data-src=" /><img data-src=" />



Je n’est en aucun cas formulé que les deux opérateurs seraient impliqué,  j’ai indiquait un peu plus d’information.





Pa problaime <img data-src=" /> <img data-src=" />









ActionFighter a écrit :



Visiblement, tu lis aussi bien que tu écris <img data-src=" />





Rien à voir avec ta formulation qui laisse penser que ces deux opérateurs seraient impliqués dans ces fuites.





En même temps n’importe quelle grosse société a bien un projet à la con de derrière les fagots qui tourne avec MongDB.









GOUPIL-MT a écrit :



désoler <img data-src=" /><img data-src=" />



Je n’est en aucun cas formulé que les deux opérateurs seraient impliqué,  j’ai indiquait un peu plus d’information.





MY EYES ARE BURNING









jpaul a écrit :



En même temps n’importe quelle grosse société a bien un projet à la con de derrière les fagots qui tourne avec MongDB.





Toute a fée <img data-src=" />



<img data-src=" />


Vu la complexité de mise en place de la bête (en dehors d’un serveur de cache), on peut dire ça oui <img data-src=" />


Sans dec. tu as quel age ?



une formation est mieux qu’être autodidacte ?<img data-src=" />

Eh bien ecoutes en tant qu’architecte système je peut te garantir que je prefère encadrer une équipe d’autodidactes passionnés qu’une equipe de novice sortant de formation.



99,99% des formations que j’ai faites ne m’ont pratiquement rien appris … j’avais déjà ces bases (ou ce niveau) en m’intéressant par moi-même aux sujets enseignés !



ce n’est que mon vécu.








ledufakademy a écrit :



Sans dec. tu as quel age ?



une formation est mieux qu’être autodidacte ?<img data-src=" />

Eh bien ecoutes en tant qu’architecte système je peut te garantir que je prefère encadrer une équipe d’autodidactes passionnés qu’une equipe de novice sortant de formation.



99,99% des formations que j’ai faites ne m’ont pratiquement rien appris … j’avais déjà ces bases (ou ce niveau) en m’intéressant par moi-même aux sujets enseignés !



ce n’est que mon vécu.





A mettre dans le&nbsp; best-of de NxInpact celle-là.



&nbsp;

Déjà ta comparaison tient pas debout un instant. Tu compare des autodidactes (donc qui ne font “que” pratiquer à l’envers et à l’endroit) à des gens qui passent la majorité de leur temps en cours.

L’évidence veut que celui qui pratique sera plus à même d’être opé’ cash sur un projet quelconque.



Alors maintenant, pour être objectif (c’pas ton fort, mais on tente quand même) on va comparer un autodidacte et un sortit de formation : tout le matos auquel on peut avoir accès durant les études (serveurs Cisco’ & gros routeurs, grosse entreprises avec des SI intéressants pour se perfectionner durant les stages, etc,), toutes les précisions des profs’ qui, pour certains, sont des pro’ donc connaissent le sujet, etc. alors qu’un autodidacte aura eu … bah son pc <img data-src=" />



&nbsp;

BON ALLER, on ferme toutes les forma’ informatiques en France et on leur file des liens, des tutos’, un pc et zou ! Ça en fera notre prochaine génération d’informaticiens surqualifiés.



&nbsp;

Bref, blague à part y’a beaucoup de choses que les étudiants ne verrons pas en cours, faute de temps au final ; comme dans toutes les formations de tous les métiers du monde <img data-src=" />



Mais de là à dire qu’à profil équivalent (en expérience) un autodidacte est &gt; à un parcours classique, c’est risible.



Je baroude depuis un moment, et combien j’ai vu de types dans leur trip de gangsta’ “Wai, j’suis autodidacte, j’ai fais ci, ça, et tout ! bla bla bla” ; et puis dans 90 % des cas, les mecs tu les colle sur une infra’ en prod’, et … y’a plus personne parce que tout ce qu’ils ont pu voir un jour derrière leur PC c’est leur écran et rien d’autre.



Bref, si t’es tombé sur des “perles”, tant mieux pour toi, mais à profil équivalent, on colle les deux mecs sur un micro-projet pour les tester et on sais d’avance qui va réussir dans la quasi-totalité des cas.

&nbsp;



Comme toujours, tout est dans les justes milieux. Ce n’est pas “noob sortit de l’école” vs “BOFH autodidacte surpuissant”.



Je préfère personnellement une équipe de gens formés, qui complètent par un comportement autodidacte.

Autant quelqu’un qui se base purement sur une formation va voir ses connaissances périmer très vite, autant un tas de trucs passent sous le radar de l’autodidacte pur. Best practices, failles de sécurité, adéquation au scope… Tout le monde peut copier du code de StackOverflow, mais avoir un minimum de background de formation permet d’éviter de prendre du code qui ne passe pas à l’échelle ou totalement deprecated.



Et que les formations n’apprennent rien en veut pas dire qu’elles sont inutiles, juste qu’elles arrivent trop tard. Après, c’est du cas par cas.








ledufakademy a écrit :



Sans dec. tu as quel age ?



une formation est mieux qu’être autodidacte ?<img data-src=" />

Eh bien ecoutes en tant qu’architecte système je peut te garantir que je prefère encadrer une équipe d’autodidactes passionnés qu’une equipe de novice sortant de formation.



99,99% des formations que j’ai faites ne m’ont pratiquement rien appris … j’avais déjà ces bases (ou ce niveau) en m’intéressant par moi-même aux sujets enseignés !



ce n’est que mon vécu.





Gros +1 !



Je bosse dans une boite ou il y à pas mal de turn over et on voit souvent des gens tout frais formé qui joue les jesaistout et qui au final sont perdu quand faut avoir un peu de jugeote et pas reproduire ce qu’ils ont fait en formation.

Parce que faut pas déconner, on devient pas expert avec une formation de 5 jours.

&nbsp;

Et je parle même pas des DBA et autres princesses qui savent même pas installer un windows ou démonter un PC (rage perso… désolé)&nbsp;



Oui, mais faut comparer ce qui est comparable ;)



Evidement qu’un étudiant tout frais sera pas forcément capable de tout faire, y’a une certaine logique là-dedant.



Et un autodidacte qui aura passé son temps devant ton écran, à pratiquer, il saura pas mieux faire parce qu’il aura jamais eu accès à un équipement, aux critique positives et à l’aide d’un enseignant, au travail de groupe avec ses camarades et ses stages, et je t’en passe.



Et encore ! je prend même pas en compte les à-côté : les cours de langues, de gestion, de compta, d’encadrement, enfin tout le barda qui font partie d’une formation un minimum sérieuse.


Ça me rappelle mes premières années de BTS et de licence, avec les chevelus à la voix encore en mue, qui pensaient que ce serait une partie de plaisir “nan, parce que moi, je sais coder en c, alors bon les cours, c’est juste pour le diplôme”, et qui dégagent à la fin de la première année <img data-src=" />








Raikiwi a écrit :



Gros +1 !



Je bosse dans une boite ou il y à pas mal de turn over et on voit souvent des gens tout frais formé qui joue les jesaistout et qui au final sont perdu quand faut avoir un peu de jugeote et pas reproduire ce qu’ils ont fait en formation.

Parce que faut pas déconner, on devient pas expert avec une formation de 5 jours.

 

Et je parle même pas des DBA et autres princesses qui savent même pas installer un windows ou démonter un PC (rage perso… désolé)





D’un autre coté, on devient pas expert en faisant 5 jours de tuto en autodidacte non plus. Faut comparer ce qui est comparable..









ActionFighter a écrit :



Ça me rappelle mes premières années de BTS et de licence, avec les chevelus à la voix encore en mue, qui pensaient que ce serait une partie de plaisir “nan, parce que moi, je sais coder en c, alors bon les cours, c’est juste pour le diplôme”, et qui dégagent à la fin de la première année <img data-src=" />





Putain ils étaient trop forts ceux-là ! Les souvenirs que tu viens de me faire remonter là <img data-src=" />



C’est typiquement des mecs comme ça qu’on va appeler “autodidactes”, ils seront “doué” (relatif) dans leur petit domaine perso’, mais dès qu’il va falloir parler “pluridisciplinaire” y’aura plus personne&nbsp;<img data-src=" />



Le 11/02/2015 à 16h 06