Connexion
Abonnez-vous

MongoDB : des BDD librement accessibles, dont celle d’un opérateur français

On ne le dira jamais assez : RTFM

MongoDB : des BDD librement accessibles, dont celle d'un opérateur français

Le 11 février 2015 à 11h56

Un groupe d'étudiant allemand indique que des bases de données MongoDB sont librement accessibles sur Internet. Elles seraient très nombreuses puisqu'il est question de près de 40 000, dont une provient d'un opérateur français, et contiendrait près de 8 millions d'entrées. Contacté par nos soins, le CERT-FR confirme l'information et nous précise que des mises à jour sont en cours.

Des BDD en manque de sécurité laissent fuiter leurs données

Les bases de données comportent de très nombreuses informations sur les sites, mais aussi sur leurs visiteurs, qu'ils soient simplement de passage ou bien qu'ils disposent d'un compte. Elles doivent donc être verrouillées et bien protégées contre les attaques extérieures. Problème, comme vient de l'annoncer un groupe d'étudiants allemands, des bases de données MongoDB sont librement accessibles. Il ne s'agit pas d'une faille liée à MongoDB, mais d'un problème de configuration de ces bases comme nous aurons l'occasion de le voir un peu plus loin.

Elles seraient près de 40 000 à laisser leurs portes grandes ouvertes à n'importe qui et, dans le lot, on y retrouve celle d'un opérateur français. Cette dernière comprendrait près de 8 millions d'entrées, mais le nom de l'opérateur n'est pas (encore) connu, pas plus que le type de données concernées. Il devrait néanmoins l'être à un moment donné puisque, comme le rappel la CNIL, les fournisseurs de services de communications électroniques ont « l'obligation de notifier les violations de données personnelles aux autorités nationales compétentes, et dans certains cas, aux personnes concernées ».

Quoi qu'il en soit, le groupe de chercheurs allemands indique qu'il a contacté le CERT-FR afin de faire part de sa découverte. Contacté par nos soins, le Secrétariat général de la défense et de la sécurité nationale confirme que c'est bel et bien le cas et que les mesures adéquates sont en train d'être prises. De son côté, la CNIL enquête sur le sujet.

MangoDB BDD
Crédits : Cispa

Une faille ? Non, une configuration des plus bancales...

Le plus surprenant dans cette histoire est qu'il ne s'agit pas à proprement parler d'une faille de sécurité, mais plutôt d'une mauvaise configuration lors de la mise en service des bases de données. Par défaut, MongoDB n'autorise en effet que le localhost (127.0.0.1) à se connecter et refuse toute autre demande avec une IP différente. Cette protection prend la forme d'une ligne dans le fichier de configuration par défaut : bindIp: 127.0.0.1. Le problème étant que certains administrateurs modifient ce paramètre, sans prendre en compte toutes les conséquences.

« Une configuration courante pour la plupart des services Internet consiste à avoir un serveur de base de données s'exécutant sur une machine physique, tandis que les services qui utilisent cette base de données (souvent virtualisés) fonctionnant sur une autre machine. Dans ce cas, la solution la plus facile est de placer la ligne bind ip = 127.0.0.1 en commentaire ou bien de la supprimer, ce qui implique dans les deux cas d'accepter toutes les connexions réseau à la base de données. » En pareille situation, le groupe de chercheur recommande de mettre en place au moins deux protections : le chiffrement du trafic ainsi qu'un contrôle d'accès approprié. Les détails de la mise en place sont indiqués ici.

La réaction de MongoDB : RTFM (ou presque) !

De son côté, l'équipe MongoDB a publié un billet de blog dans lequel elle revient sur ce problème de sécurité, qui ne touche finalement pas son système de base de données, mais l'implémentation qui en est faite par des administrateurs. On n'y apprend ainsi pas grand-chose de plus et la société se contente de renvoyer les utilisateurs vers son manuel et sa checklist de sécurité pour plus de détails. Nous aurons bien entendu l'occasion de mettre à jour cette actualité dès que nous aurons eu des détails supplémentaires et de plus amples réponses des différents intervenants.

Commentaires (167)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Sauf que c’est MongoDB avec un O.



Leynas.

votre avatar

Des bases de données pleines de mangues. miam !

votre avatar



Il devrait néanmoins l’être à un moment donné



On peut lancer des pronostiques alors? :)

votre avatar

D’autant que les liens sont bons eux ^^

votre avatar

Comment sur 1 article on peut écrire MangoDB à la place de MongoDB ? 

Un peu de recherche aurait permis de voir l’erreur, mangoDB n’existant pas sur une recherche google.

votre avatar







Leynas a écrit :



Sauf que c’est MongoDB avec un O.



Leynas.









Gatsu35 a écrit :



Comment sur 1 article on peut écrire MangoDB à la place de MongoDB ? 

Un peu de recherche aurait permis de voir l’erreur, mangoDB n’existant pas sur une recherche google.







A été signalé ;)


votre avatar

Oh-Oh, alerte Mongo! Alerte au Mongo les enfants!

votre avatar

Comment on signal ? jamais trouvé

votre avatar

Nan mais il faut s’indigner, c’est important! D’abord Roger Hanin qui decede, puis on apprend que Copé donne des cours à Sciences Po, et maintenant ça!

La France est perdue!!!

votre avatar

A force de laisser travailler des amateurs sur des projets, on récolte ce qu’on sème…

votre avatar

In MySQL we trust <img data-src=" />

votre avatar

En partant du principe qu’il y a un dba, parce qu’en fait c’est peut être là l’erreur

votre avatar

+1

&nbsp;

&nbsp;Pour y avoir été confronté aussi le système d’authentification / session est loin d’être aussi trivial à mettre en place que pour d’autre base de donnée, aussi bien coté administrateur du serveur que du coté des développeur qui vont devoir l’utiliser dans leur code.



Pour le coup l’équipe officiel l’a un peu facile de renvoyer à la doc alors que la majorité des tutoriaux et autres&nbsp; démos, à commencer par ceux du site officiel et du blog, laisse cet aspect complètement de coté se contentant de mettre en avant l’effet “waouh” (regardez, c’est facile, puissant, rapide…) en oubliant ce genre de détails.

votre avatar

Par défaut il n’y a ni utilisateur ni mot de passe sur mongodb…&nbsp;

il faut les rajouter manuellement pour activer la restriction d’accès.

Donc si un gugus s’ amuser à retirer la restriction lié au localhost sans activer la protection par utilisateur / mot de passe…

votre avatar

Non, non, la conf par defaut est juste pourrie sous mongo… et les mecs en charge de la base n’ont pas fait l’effort de la securiser.

Pour bien connaitre Mongo, ca ne m’etonne pas du tout…

votre avatar

Oui mais non, CF ma réponse d’au dessus.




Chez Orange, au SAV, notre batiment était connecté à Internet pour le transit des infos clients.      






Alors effectivement c'est chiffré, via un VPN d'entreprise, etc. ; mais internet est tout de même là.      






Et c'est le cas pour énormément de FAI, la faille intervenant presque à 100 % des cas avec les intermédiaire et pas directement sur la BDD à proprement parler.     













KP2 a écrit :



Non, non, la conf par defaut est juste pourrie sous mongo… et les mecs en charge de la base n’ont pas fait l’effort de la securiser. Pour bien connaitre Mongo, ca ne m’etonne pas du tout…







C’est pas le problème de Mongo ça. Il proposent un outil et les boites sont libre de le prendre ou pas. Qu’il soit complexe, pourri, mal documenté ou peu importe au final.



Et à partir du moment où tu prend un outil, tu assume de sécuriser ce qui peut l’être ; et dans notre cas il n’y a appartement pas exploit sur une faille de sécurité, mais sur un manquement à la sécurité.



La faute est, à priori, totalement à imputer aux Admin’ syst/BDD qui n’ont pas fait leur travail ou/et pas été formés par leur boites à ces outils, pas eu les moyens de le faire, etc.


votre avatar







philanthropos a écrit :



C’est beaucoup plus courant qu’on ne le pense a force de coller des novices sur des postes clés (réalité & expérience du terrain inside …).

Bref, l’affaire d’incompétents plus qu’autre chose surtout (comme souvent).







C’est pas forcement un probleme de competence, ca peut aussi etre un probleme dans la gestion de projet…

Un projet informatique est toujours en retard qqpart donc c’est souvent la doc et la securité qui morflent quand il faut grapiller des jours par ci et par la…

L’important est que ca marche donc la securité, on verra ca plus tard… et puis le “plus tard” est encore repoussé car y’a d’autres trucs urgents et enfin le turn over enterre definitivement le probleme…


votre avatar







super_g2 a écrit :



Et les SysAdmins, RTFM !!





Hum, le configuration du moteur c’est un boulot de DBA et non de sysadmin, surtout que pour le coup c’est bien la config moteur qui est en cause et non le système donc non le sysadmin a surement bien fait son job, le DBA par contre certainement moins ;)


votre avatar

Waip, j’ai été la précision dans mon commentaire juste avant.



Mais dans le fond je suis d’accord avec toi, souvent les boites négligent la sécurité, qui est pourtant un poste clé et plutôt couteux.



Tout ce qu’on peut espérer c’est que ça leur apprendra.

Après si le DSI d’une boite ferme les yeux sur ces problèmes, ou si y’a des incompétents dans la chaine technique, c’est les clients qui morflent, c’est surtout ça que je trouve le plus dommageable.

votre avatar

nan mais serieux modifier le fichier de conf pour autoriser d’autres adresses que le local à se connecter, faut vraiment vouloir se mettre sur le bide une enseigne au neon qui clignote “viens quand tu veux ! viens quand tu veux ! viendez nombreux !”



même un étudiant en info sait ca !

votre avatar

Par défaut, à l’installation, il n’y a pas de mot de passe sur une base MongoDB.

Un admin flemmard peu laisser ça comme ça … :)&nbsp;

votre avatar

Je dis pas le contraire mais juste que Mongo n’aide vraiment pas pour etre securisé…

D’ailleurs, les 1eres version n’incluaient meme pas de gestion d’utilsateurs.



Ca n’ote en rien la faute des admins mais ca nuance le propos un peu.

votre avatar

Maintenant on va à l’économie en cherchant des développeurs full-stack MEAN.



Il n’est pas impossible que le développeur et le DBA (et même l’admin SYS <img data-src=" />) soit la même personne&nbsp;<img data-src=" />

votre avatar







Ricard a écrit :



Heureusement que ton pseudo, c’est pas “Pov’ con”…



Ricard.





Jerry.


votre avatar

“Elles seraient très nombreuses puisqu’il est question de près de 40 000, dont une provient&nbsp;d’un&nbsp;opérateur français”





Ne me dites pas que c’est Orange ?



<img data-src=" />

votre avatar

Know your enemy! <img data-src=" />

votre avatar

Apparement il y a un peu plus que 40k (plutot 60k)http://un1c0rn.net/search?q=tags%3Amongo

votre avatar

ouaih … et qui sont devenus&nbsp; patrons d’une startup .. eux !

En prod. eux ils sont utiles, unn bac 2+ qui a bachoté , restitué pour avoir les 10 premiers points , on s’en gague : on veut une France qui produise !!!



Décidemnt y’en encore du boulot pour que ce pays se relève et … produise !!!!



France pays des diplomés de merdes .

&nbsp;(provoc à 300% là je vais me faire des ennemis mais m’en fous je balance !)

votre avatar







ledufakademy a écrit :



ouaih … et qui sont devenus  patrons d’une startup .. eux !

En prod. eux ils sont utiles, unn bac 2+ qui a bachoté , restitué pour avoir les 10 premiers points , on s’en gague : on veut une France qui produise !!!



Décidemnt y’en encore du boulot pour que ce pays se relève et … produise !!!!



France pays des diplomés de merdes .

 (provoc à 300% là je vais me faire des ennemis mais m’en fous je balance !)





<img data-src=" />



Des mecs comme ça en prod ? <img data-src=" />



Ils ne tiendraient même pas une journée. Ils se feraient dégagé au premier incident. S’il y a bien quelque chose qu’il faut respecter en prod, ce sont les procédures sur lesquelles tu es formé.



Faut être un peu sérieux, les petits génies autodidactes, il y en a très peu. Par contre, les autodidactes qui se prennent pour des génies, il y en plus.



Désolé, mais une formation est indispensable pour faire un travail correct. Dans mon taf, j’ai actuellement des gens qu’on colle à des postes sans aucune formation, et je t’assure qu’avec la meilleure volonté du monde, ils ne font pas le poids face à quelqu’un de qualifié.

Alors ce qu’ils font marchent, hein, mais quand t’as, exemple que j’ai rencontré récemment, des requêtes SQL de 3km de long pour faire un truc qui se fait en quelques lignes quand tu t’y connais un minimum, et bien c’est le genre de truc qui te fait planter un environnement de prod quand t’as 10 requêtes du genre qui tournent en même temps.


votre avatar

Ennemis, non, on se contentera d’ignorer tes jugements à l’emporte pièce.



Je vois tout à fait ce qu’ActionFigher a voulu dire: En direct par mon fils qui me signale comment ceux qui se contentent de savoir aligner des lignes peuvent souffrir quand on leur demande de faire d’écrire des algorithmes qui tiennent la route.



Et les patrons de startup que je connais ont le plus grand respect pour les gens bien formés qu’ils ont pu ramener sur leur projet.

votre avatar

Ce qui se passe surtout, c’est qu’un autodidacte bien formé c’est quelqu’un qui a pris du temps pour savoir ce qu’il sait. Beaucoup de temps.



On retrouve cette notion de temps dans les formations en cours: Oui, au bout de 5 jours on n’a pas appris grand’chose. Et ce quelque soit la méthode d’apprentissage.

votre avatar

“Dans ce cas, la solution la plus facile est de placer la ligne bind ip = 127.0.0.1 en commentaire ou bien de la supprimer”



Quel admin ferait ca sans vérifier ce que ca fait sans déconner ??

(meme si c’est fking obvious ce que ca fait)

votre avatar







levhieu a écrit :



Ce qui se passe surtout, c’est qu’un autodidacte bien formé c’est quelqu’un qui a pris du temps pour savoir ce qu’il sait. Beaucoup de temps.



On retrouve cette notion de temps dans les formations en cours: Oui, au bout de 5 jours on n’a pas appris grand’chose. Et ce quelque soit la méthode d’apprentissage.





Oui, c’est clair.



Alors, c’est vrai que maintenant, avec le net, on peut s’auto-former plus facilement, mais ça demande du temps, et ça ne remplace pas l’expérience d’un formateur qui peut t’indiquer les problèmes récurrents et leurs solutions, les pièges à éviter, les astuces, etc… qui peut justement te faire gagner du temps dans ton apprentissage.

Mais bien évidemment, ça ne suffit pas, et il faut de la pratique pour véritablement assimiler les compétences.


votre avatar







m1k4 a écrit :



“Dans ce cas, la solution la plus facile est de placer la ligne bind ip = 127.0.0.1 en commentaire ou bien de la supprimer”




  Quel admin ferait ca sans vérifier ce que ca fait sans déconner ??        

(meme si c'est f**king obvious ce que ca fait)








  Y'a des centaines de possibilités :       

- Un AUTODIDACTE incompétent :transpi:;

- Un non-formé (c'est différent) ;

- Fatigué à faire cette manip à 21 h après 14 heures de travail et il fait une erreur conne (plus courant qu'on le pense dans les gros SI avec des Admin Multi-rôles) ; &lt;--- C'est du vécu :fumer:

- Il le fait, a un autre soucis, note qu'il faut le faire plus tard et oublie ;

- Il est remplacé et son suivant ne sait pas ;

- etc..

&nbsp;

Bref, je te fais pas une liste, mais dans l'idée c'est les principaux soucis qui me viennent à l'esprit en premier lieu.





Après je crois que tu te pose “mal” la question.



Le problème n’est pas tant de savoir “pourquoi” y’a eu erreur, ça peut arriver de temps en temps, c’est normal.

Mais pourquoi à AUTANT de monde à la fois.



Et là, tu incrimine logiquement l’Admin’, c’est basique, mais aussi le logiciel qui doit être mal branlé pour que tant de boites soient tombées dans le panneau <img data-src=" />


votre avatar

Il manque quand même le stagiaire de 3ème dans la liste. Mais c’est clairement une faute professionnelle. Après rechercher les responsabilités, les liens de causalité et les sanctions qui vont bien est un autre problème mais en prod’ c’est simplement inconcevable et inacceptable de faire une connerie pareille. D’autant que ce n’est pas du live éphémère mais du durable, donc en plus aucune supervision.

votre avatar

Les erreurs ca arrive, pas de soucis.

Mais quand tu commentes une ligne comme celle là en général tu fais gaffe ;)



Et bien sûr que j’incrimine l’admin, c’est pas tous les jours que des madame Michu se montent des bdd, encore moins des mongoDB ^^’

Et c’est du fichier de conf en cli donc je dirais que non, le “logiciel” n’est pas mal branlé :p



Je te rejoins sur la masse par contre, j’ai du mal à comprendre comment il peut y en avoir autant

votre avatar

Internet par …Orange !

votre avatar







francois-battail a écrit :



Il manque quand même le stagiaire de 3ème dans la liste. Mais c’est clairement une faute professionnelle. Après rechercher les responsabilités, les liens de causalité et les sanctions qui vont bien est un autre problème mais en prod’ c’est simplement inconcevable et inacceptable de faire une connerie pareille. D’autant que ce n’est pas du live éphémère mais du durable, donc en plus aucune supervision.






Ah oui mais clairement, la faute première est à imputer au Tech'/admin qui a pas fait correctement son taf.      






Après, comme j'ai dis, vu le nombre de boites qui sont tombées dans le panneau, il serait aussi intelligent de la part de MongoDB de revoir un peu leur logiciel au risque de passer un peu pour des cons :transpi:  





Parce que bon, leur seule réponse a été un gros “RTFM dude !”, c’est un peu léger quand la moitie (au pif) de ses clients ont le même problème <img data-src=" />









m1k4 a écrit :



Et c’est du fichier de conf en cli donc je dirais que non, le “logiciel” n’est pas mal branlé :p



Je te rejoins sur la masse par contre, j'ai du mal à comprendre comment il peut y en avoir autant







Par “logiciel mal branlé” j’entends que y’a forcément quelque chose qui foire dans leur produit (peu importe la parte) au point qu’autant de boite tombent là dedans quoi ^^ Mais oui techniquement parlant je suis ok avec toi.


votre avatar

Non. Il n’y a pas une faute première mais une escalade inadmissible de fautes ou des pratiques répandues probablement appelées pudiquement&nbsp; « optimisations de process » qui conduisent à cette situation. MongoDB comme la plupart des logiciels utilisant des sockets proposent une connexion directe par l’interface lo&nbsp; (et heureusement).&nbsp;

Généralement les confs par défaut des distributions sont très propres&nbsp; et excepté 127.0.0.1 rien ne passe, là il s’agit d’une manipulation volontaire et une démonstration d’incompétences multiples avec peut-être des conséquences graves pour un grand nombre de personnes. On est non seulement dans un problème chaise / clavier mais également de chaîne de commandement et de supervision, et cela est très inquiétant.

votre avatar







philanthropos a écrit :



Oui, mais faut comparer ce qui est comparable ;)




 Evidement qu'un étudiant tout frais sera pas forcément capable de tout faire, y'a une certaine logique là-dedant.       






 Et un autodidacte qui aura passé son temps devant ton écran, à pratiquer, il saura pas mieux faire parce qu'il aura jamais eu accès à un équipement, aux critique positives et à l'aide d'un enseignant, au travail de groupe avec ses camarades et ses stages, et je t'en passe.       






 Et encore ! je prend même pas en compte les à-côté : les cours de langues, de gestion, de compta, d'encadrement, enfin tout le barda qui font partie d'une formation un minimum sérieuse.







L’autodidacte passe son temps devant un écran et le professionnel devant des équipements. Elle est marrante celle-là. Et mes serveurs à la maison c’est du flan ?&nbsp; A ce que je sache, les documentations sont les mêmes pour tous.

Alors oui je t’accorde le fait est que c’est un long et courageux défi de ce passer d’un enseignant, pour plusieurs raisons que je n’aborderais pas. Mais ce sentiment du résultat qui découle de tout ces efforts il est unique et quotidien.

Je contribue à mon échelle au réseau que l’on nomme internet avec des obligations identiques et avec l’aide d’outils de mise en relation via le réseau.



Et ne confondons pas mieux faire avec faire plus.



&nbsp;

&nbsp;


votre avatar







pentest a écrit :



Et mes serveurs à la maison c’est du flan ?





Ben, si t’as 100 pékins qui se connectent dessus, oui, c’est un peu du flan


votre avatar







uzak a écrit :



Ben, si t’as 100 pékins qui se connectent dessus, oui, c’est un peu du flan






&nbsp;C'est quoi le plafond en pékins pour faire parti du réseau internet :zarb:

votre avatar

Un type d’erreur d’administration malheureusement d’une grande banalité.



Il faut voir ce qu’on peut parfois trouver en migrant les serveurs d’entreprises importantes :/

votre avatar







ActionFighter a écrit :



Jerry.





Canay.


votre avatar

8 millions c’est le nombre d’abonnés à Free Mobile

Coïncidence, je ne pense pas

votre avatar

En effet j’avais jamais vu cette barre <img data-src=" />



C’est a la fois malin et trop avant-gardiste, je pense que me monde n’est pas prêt pour ça xD

votre avatar







julien_d a écrit :



8 millions c’est le nombre d’abonnés à Free Mobile

Coïncidence, je ne pense pas





Donc mes données sont accessibles à tout le monde <img data-src=" />



Merci Free <img data-src=" />


votre avatar

Dire qu’on demande des bac+5 et des certifications pour recruter dans ce métier… alors qu’il suffit de faire un apt-get install et commenter une ligne <img data-src=" />

votre avatar







Folgore a écrit :



In MySQL we trust <img data-src=" />





PostgreSQL: The world’s most advanced open source database <img data-src=" />


votre avatar







KP2 a écrit :



Non, non, la conf par defaut est juste pourrie sous mongo… et les mecs en charge de la base n’ont pas fait l’effort de la securiser.

Pour bien connaitre Mongo, ca ne m’etonne pas du tout…





Tu ne vas pas chercher des excuses à des gars qui devraient être virés <img data-src=" />

Une BDD sans mot de passe c’est au mieux le fouet en place publique, sinon la porte.

&nbsp;


votre avatar







lordzeon a écrit :



Maintenant on va à l’économie en cherchant des développeurs full-stack MEAN.



Il n’est pas impossible que le développeur et le DBA (et même l’admin SYS <img data-src=" />) soit la même personne&nbsp;<img data-src=" />





Waip, c’est souvent le cas le même dans des structure moyennes. L’admin’Sys a une charge de travail juste monumentale alors qu’il n’y ni les compétences, ni le temps et ni les moyens de gérer tout ça de façon correcte.



Souvent il gère le RSX, les BDD diverses, le SiteWeb, les petits problèmes utilisateurs, l’installation/cablage du matériel ; bref c’est l’homme à tout faire au niveau informatique.

Et après on s’étonne que ces boites soient des gruyères sécuritaires x)



Mais bon, de toute façon le SI est un des premier poste d’économie dans une boite, sinon on en arriverait pas à un point où autant de boite se font owned leur BDD d’un coup ; surtout pour défaut de sécurisation.

&nbsp;





ActionFighter a écrit :



Donc mes données sont accessibles à tout le monde <img data-src=" />

Merci Free <img data-src=" />





On va enfin pouvoir prouver tes relations avec les réseaux mafieux pédo-nazi extrèmistes ! Merci Free !


votre avatar







ActionFighter a écrit :



Jerry.





T’as oublié de signer noob.



Bobmoutarde.


votre avatar

zavait qu’à mettre 0.0.0.0 … c’est encore mieux.

votre avatar







Ricard a écrit :



Hop, une petite correction de la niouze dicrètos…







L’article a été corrigé, mais la coquille est toujours visible dans l’url… <img data-src=" />



Leynas.


votre avatar

Après avoir vérifié sur quelque bds de test de notre côté (pas d’infos critiques dessus, c’est juste pour des tests), il semblerait que la conf par défaut de mongodb récupérée via le gestionnaire de paquet Debian autorise l’accès depuis n’importe où à la BD (en fait, il n’y a pas de config du tout, donc pas de filtrage par défaut).



Donc ça ne m’étonnerait pas que beaucoup de ces BDs ait été installées directement depuis un gestionnaire de paquet sans configuration particulière, l’admin pensant que tout serait bloqué par défaut.

Bon ça n’empêche pas que les admins auraient du le vérifier, mais pour le coup les paquets mongodb sur linux devraient être mit à jour…

votre avatar







philanthropos a écrit :



On va enfin pouvoir prouver tes relations avec les réseaux mafieux pédo-nazi extrèmistes ! Merci Free !





Je pas prêt de réessayer les services de téléphone rose de Xavier après ça <img data-src=" />







Bobmoutarde a écrit :



T’as oublié de signer noob.



Bobmoutarde.





Pourquoi tu veux que je signe “noob” ?



Poweruser.



votre avatar







lordzeon a écrit :



Maintenant on va à l’économie en cherchant des développeurs full-stack MEAN.



Il n’est pas impossible que le développeur et le DBA (et même l’admin SYS <img data-src=" />) soit la même personne&nbsp;<img data-src=" />









Je confirme ! Dans mon ancienne boite j’avais 5 casquettes (Téléphonie, Audiovisuel, Sysadmin, Sysdba et chef de projet) ! Bon après je n’ai pas fait d’erreur de ce type&nbsp;<img data-src=" />&nbsp;

Bon après quand ça à changé de DG et que le mec à viré ou fait pression pour faire partir tout les salaire supérieur à 1500€ car il considéré que c’était trop cher payé je vous laisse imaginé les dégâts derrière <img data-src=" />&nbsp;.&nbsp;



Et aujourd’hui je vais dans des boites avec plus de 300 postes et 40 serveurs et c’est d’un bordel. En fait ce n’est pas des cas isolé ce qu’on découvre ici mais le quotidien de beaucoup de boite pour qui l’informatique coute de toute façon toujours trop cher et qu’il n’y a pas d’utilité d’embaucher ou de sous traité pour ça.&nbsp;



Peux-etre que la prochaine génération de PDG n’aura pas la même mentalité. A esperer&nbsp;<img data-src=" />


votre avatar

En testant quelques une de ces ips, un grand nombre ont la protection activée (on peut se connecter, mais impossible de faire une opération si non loggué), donc probablement pas 60K…

votre avatar

Ce que je ne comprend pas c’est :&nbsp;




  • soit ces bases de données sont protégés par un mot de passe. Dans ce cas, il n’y a pas de vrai faille de sécurité, simplement une sécurité un peu légère. La faille rend le bruteforce possible, mais il existe sûrement d’autre mécanismes en place pour l’éviter.&nbsp;

  • soit ces bases dites “compromises” nesont pas protégés par un mot de passe, et dans ce cas ce qui&nbsp;m’étonne&nbsp;c’est que l’article de ne le précise pas.&nbsp;



    Personnellement&nbsp;j’ai utilisé mongoDB pour des projets de cours, la sécurité était une option puisque ce n’était pas&nbsp;destiné à être utilisé en production, mais simplement pour un oral&nbsp;d’examen.&nbsp;&nbsp;

votre avatar

Ni MySQL ni Postgresql n’ont de rapport avec Mongo…

Et quand on fait de la merde avec une base, on peut faire de la merde avec n’importe quelle base…

votre avatar

oups : requête SQL longue (très longue) , hum j’ai connu ça dans un ministère de la d …. moi !



Soldé mon adjudant !



Circulez.

votre avatar

Je cherche des excuses a personne. J’explique un etat de fait.

Mongo n’a jamais ete tres secure a la base et ils ne poussent pas a securiser quoique ce soit. La doc est nulle sur le sujet.

Je pense que pour eux, la securité n’est pas leur probleme et elle doit etre geree a un autre niveau (reseau entre autres). Ils ont integré des trucs sur la securité a cause de la pression des utilisateurs et ce n’est pas particulierement bien fait.



Ca n’excuse pas les admins mais ils ne sont clairement pas aidés…

votre avatar



Par défaut, MongoDB n’autorise en effet que le localhost (127.0.0.1) à se connecter et refuse toute autre demande





All your base are belong to me !! Ah Ah Ah ah ah ah….

votre avatar







philanthropos a écrit :



Parce que bon, leur seule réponse a été un gros “RTFM dude !”, c’est un peu léger quand la moitie (au pif) de ses clients ont le même problème <img data-src=" />







Bin maintenant, hormis les clients qui doivent payer du support chez Mongo, le reste, ils se tapent les effets d’une licence libre (AGPL) dans les dents : logiciel livré sans aucune garantie. On (les dév) a fait de la merde ou tu n’as pas lu notre doc’ mal fichu, on s’en fiche <img data-src=" />



(Et ce n’est pas un troll contre les licences libres <img data-src=" /> C’est suffisamment indiqué partout dans les distribs Linux)


votre avatar

Je pense que l operateur c’est BT, ils ont utilisé mongo dans un de leur projet pour gérer les ticket de connexion2/3/4G et les tokens netflix. Après c’est vrai que chez mongo faut en vouloir pour leur docs….

votre avatar

Ah les licences libre … depuis le temps qu’on nous le dit que c’est une mauvaise idée de les utiliser pour des choses vraiment sérieuses … <img data-src=" />&nbsp; il est loin le temps où c’était qu’un délire d’étudiant mal rasé.



<img data-src=" />



&nbsp;







gastaman a écrit :



Je pense que l operateur c’est BT, ils ont utilisé mongo dans un de leur projet pour gérer les ticket de connexion2/3/4G et les tokens netflix. Après c’est vrai que chez mongo faut en vouloir pour leur docs….





SFR & Orange utilisent aussi MongoBD, en partie.



Tant que c’est pas certifié, c’est potentiellement tout le monde ou personne.


votre avatar

ils ont pas mis open office comme firewall !!! anefeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeee

votre avatar







philanthropos a écrit :



Un bon autodidacte, c’est surtout un mec qui est capable de travailler en Team naturellement et d’assumer “qu’il ne sait pas”.





Je dirais même qu’un bon en info est forcément un peu autodidacte.



Le mec qui se contente d’appliquer juste ce qu’il a appris sans jamais creuser, il n’ira pas bien loin.

Et les technos évoluent tellement vite que tu es obligé de te mettre à la page par toi-même un minimum si tu veux pas être largué.


votre avatar







Groumfy a écrit :



Heu, un vrai DBA ne monte pas du MongoDB <img data-src=" />



Citation : “MongoDB est un gadget pour faire plaisir aux développeurs”





Et tu mets quoi à la place ?


votre avatar

Juste pour rejoindre ce qui est dit plus haut: si la moitié des clients sont touchés, c’est léger de se réfugier derrière un RTFM.



Que ça ne te mette pas un warning quand le serveur est totalement open, c’est pas terrible :o

votre avatar

J’héberge des bases de données depuis bientôt 10 ans et j’ai jamais vu un serveur de base de données sans firewall devant.



En gros la news annonce que quand on met un serveur tout nu sur internet, bah il est vulnérable….baaaaah, ça s’applique aussi à MySQL, Oracle, SQL Server, PostgreSQL, et tous les autres.



C’est un peu comme dire que la dernière Renault est dangereuse quand on roule sans toucher le volant quoi…

votre avatar

Accéder a une BDD ne nécessite pas les accès root -_-’

votre avatar

Ben tout système du type LAMP s’en fou complètement d’avoir ou non un firewall actif, mysql par défaut n’écoute qu’en local donc pourquoi y mettre un firewall ? c’est plus pour restreindre les accés aux autres services, rien à voir avec la BDD.



D’après ce qui est dit, le reproche n’est pas qu’elle soit accessible sur internet mais que l’authentification est tellement pourrie qu’elle ne sert à rien ou est laissé de côté par les DBA



J’ai des serveurs de base de données accessibles sur internet mais où il y a des mots de passes solides dessus, un firewall ni changerait rien puisque les clients doivent pouvoir s’y connecter depuis n’importe qu’elle IP. Si mon système de droits/utilisateurs est compliqué/inexistant/obsolète on arrive à ce genre de cas.

votre avatar

Ok, les DBA / SysAdmin / DSI / … n’ont pas / mal fait leur boulot.&nbsp;



Mais une piste sérieuse d’amélioration pour MongoDB serait de simplement proposer leur appli avec une configuration par défaut qui pose les bases de la sécurité.

Et éclaircir la documentation …



S’ils n’ont rien a se reprocher, fondamentalement, dans cette histoire, cette simple action ne peut que leur donner plus de crédibilité pour la suite.

votre avatar

C’est étrange cette news, surtout les chiffres.





C’est 40000 bases ? car tu peux mettre ta base sur plusieurs nodes et en l’occurrence ça ferai moins que 40000 bases.

&nbsp;Si tu veux avoir des temps de réponse rapide, tu vas dupliquer tes données dans le monde entier et répliquer de nombreuses fois les même nodes un peu partout : typique d’un moteur de recherche par exemple.

&nbsp;

&nbsp;8 millions de client en tout , ou 8 millions de client d’un seul FAI ?

Car le tour est vite fait des FAI qui ont 8 millions de client.

&nbsp;

&nbsp;Bref on sais même pas ce qui était vulnérable ni si c’était chiffré…. bref ça fait assez bad buzz pour l’instant.

&nbsp;

&nbsp;

votre avatar







Ricard a écrit :



Heureusement que ton pseudo, c’est pas “Pov’ con”…



Ricard.





par contre, le tien est soulant :-)


votre avatar

La config par défaut est super sécure, tu peux y accéder qu’en local par défaut <img data-src=" />

votre avatar







ungars a écrit :



par contre, le tien est soulant :-)





<img data-src=" />


votre avatar







Krapace a écrit :



Accéder a une BDD ne nécessite pas les accès root -_-’





Certes non, mais le compte root est créé par défaut sur la plupart des sgbd



&nbsp;Du coup, très étrangement, la plupart des tentatives de bruteforce ont lieu sur l’utilisateur root. En tous cas d’après mes logs c’est largement plus de 90%, le reste c’est des essais isolés sur MrMichu, MmeMichu… et en soit si ton utilisateur c’est “hosk,fhbo&lt;sonhjzè_fequtèfbhqçfhqgehfzèfgqoufhqèdtgboue:;,;!q” c’est presque sûr de laisser un accès sans mdp…


votre avatar







Groumfy a écrit :



A force de laisser travailler des amateurs sur des projets, on récolte ce qu’on sème…





Je plussoie





Folgore a écrit :



In MySQL we trust <img data-src=" />





+1


votre avatar

Ouai enfin mysql quand t’as besoin d’une BDD non relationnelle <img data-src=" />

votre avatar

&nbsp; Là, t’es en train de dire, que MongoDB devrait faire du BDD type «

ZeroConf » et « Secure »parce que des admins sont pas capable d’exercer

leur métier avec professionnalisme.

Si les admins sont incompétent, c’est pas la faute de MongoDB.



La doc est clair et c’est assez simple à utiliser, faut-il encore prendre le temps de lire la doc.

[Enable

Authentication after Creating the User

Administrator]http://docs.mongodb.org/manual/tutorial/enable-authentication-without-bypass/)



[Add a User to a Database

]http://docs.mongodb.org/manual/tutorial/add-user-to-database/)





Edit : markdown here fonctionne pas ici :/

votre avatar







ziouf a écrit :



Ok, les DBA / SysAdmin / DSI / … n’ont pas / mal fait leur boulot.&nbsp;





Mais une piste sérieuse d’amélioration pour MongoDB serait de

simplement proposer leur appli avec une configuration par défaut qui

pose les bases de la sécurité.

Et éclaircir la documentation …





S’ils n’ont rien a se reprocher, fondamentalement, dans cette histoire,

cette simple action ne peut que leur donner plus de crédibilité pour la

suite.







&nbsp;Là, t’es en train de dire, que MongoDB devrait faire du BDD type «

ZeroConf » et « Secure »parce que des admins sont pas capable d’exercer

leur métier avec professionnalisme.

Si les admins sont incompétent, c’est pas la faute de MongoDB.



La doc est clair et c’est assez simple à utiliser, faut-il encore prendre le temps de lire la doc.

[Enable Authentication after Creating the User Administrator][1]

[Add a User to a Database][2]



&nbsp;&nbsp; 1: http://docs.mongodb.org/manual/tutorial/enable-authentication-without-bypass/

&nbsp;&nbsp; 2: http://docs.mongodb.org/manual/tutorial/add-user-to-database/&nbsp;

(Je refais mon message… parce que c’est super moche au dessus…)


votre avatar

C’est surtout très mal foutu, ce n’est pas normal de devoir aller lire une doc et taper des lignes de commande.

Les responsables sont bien les gens de MongoDB !

La moindre des choses c’est de prévoir une interface graphique pour faire cela.

Je sais que les purs Linuxiens préfèrent les lignes de commandes mais ce n’est pas le cas de tout le monde. Sous Windows aucune ligne de commande pour faire ce genre de choses, tout est dans l’interface.

votre avatar







linconnu a écrit :



C’est surtout très mal foutu, ce n’est pas normal de devoir aller lire une doc et taper des lignes de commande.

Les responsables sont bien les gens de MongoDB !

La moindre des choses c’est de prévoir une interface graphique pour faire cela.

Je sais que les purs Linuxiens préfèrent les lignes de commandes mais ce n’est pas le cas de tout le monde. Sous Windows aucune ligne de commande pour faire ce genre de choses, tout est dans l’interface.





Je crois pas que les lignes de commande soient un soucis pour un admin qui bosse pour un opérateur français…



Et lire une doc, c’est normal et sains… surtout quand on veux que se soit fonctionnel, et un minimum secure.



Tu parle d’interface, qui selon toi serait un minimum, si tu avait lu la doc tu aurait vu cette [page][1]

&nbsp;



&nbsp;[1]:http://docs.mongodb.org/ecosystem/tools/administration-interfaces/


votre avatar

Justement l’installation d’une interface graphique n’a rien à faire au fin fond d’une doc.



Quand tu installes SQL Server de Microsoft tu as directement une interface graphique, faudrait faire pareil fournir de base une interface graphique.

votre avatar

Au contraire, c’est là sa place surtout quand c’est optionnel voir inutile, ça dépend de ce que tu fais avec ta base de donnée et de ton niveau de compétence.



MonboDB installe pas d’interface graphique par défaut, c’est à l’utilisateur de le faire, je vois pas le soucis, au contraire j’y vois des avantages, tu as le choix d’en installer ou non et de choisir l’outil qui conviens le mieux a tes besoins.



Et c’est pas parce qu’un produit X ou Y fait quelque-chose que tous les autres devrait faire pareil, ça n’a aucun intérêt. Chaque outils a ces spécificités et c’est bien.

votre avatar







Leynas a écrit :



Sauf que c’est MongoDB avec un O.





Voir MongoL-DB pour le coup…


votre avatar

8 millions d’entrées dans la BDD d’un FAI laxiste en sécurité ?

Perso je vote Free.

votre avatar

Y a pas, mais t’as pas les même contraintes entre un serveur perso qui prend 10 user et une infra qui fait tourner des applis 2424 sur clusters, qui est segmentée en sous réseaux, avec des machines où tu peux changer un proc à chaud et tout un tas de trucs qui manquent de tutos sur internet…



Franchement, je vois pas comment on peut être dba ou sysadmin autodidacte en restant à la maison.

votre avatar







uzak a écrit :



Y a pas, mais t’as pas les même contraintes entre un serveur perso qui prend 10 user et une infra qui fait tourner des applis 2424 sur clusters, qui est segmentée en sous réseaux, avec des machines où tu peux changer un proc à chaud et tout un tas de trucs qui manquent de tutos sur internet…



Franchement, je vois pas comment on peut être dba ou sysadmin autodidacte en restant à la maison.





Laisse couler et te prends pas la tête.



Sérieusement <img data-src=" />







pentest a écrit :



&nbsp; C’est quoi le plafond en pékins pour faire parti du réseau internet <img data-src=" />





Il ne dis pas que tu ne fais pas partie du réseaux Internet, mais qu’un serveur Perso’, aussi bien configuré soit-il, c’est rien par rapport à la gestion d’un SI de plusieurs milliers de postes/serveurs.


votre avatar







philanthropos a écrit :



C’est souvent le cas sur NxInpact comme les autres journaux, une technique vieille comme le monde : un titre accrocheur pour faire vendre/faire des vues.



Et à ce niveau, bien que je le déplore comme toi, NxInpact n’a rien à envier à d’autres ^^



Tout l’intérêt de bien lire les news <img data-src=" />





Sur NXI les titres racoleurs sont souvent du même auteur… <img data-src=" /><img data-src=" />


votre avatar

<img data-src=" /><img data-src=" />



lossendae

votre avatar







uzak a écrit :



Y a pas, mais t’as pas les même contraintes entre un serveur perso qui prend 10 user et une infra qui fait tourner des applis 2424 sur clusters, qui est segmentée en sous réseaux, avec des machines où tu peux changer un proc à chaud et tout un tas de trucs qui manquent de tutos sur internet…




Franchement, je vois pas comment on peut être dba ou sysadmin autodidacte en restant à la maison.








Tu parles de spécialisations dans ce cas.      



Oui, sauf exceptions, tu vas avoir un enseignement pour manier des interfaces propriétaires pour administrer ton serveur en fonction de la marque. Tu vas vraisemblablement devoir apprendre une solution proprio pour la mise en place de cluster et la virtualisation, et j’en passe. Soit dit en passant rien ne m’empêche de monter un cluster en local. Je m’y suis déjà intéressé, mais je n’en ai pas l’utilité.



En parti ce sont des contraintes qui découlent de cette centralisation du réseau, mais la gestion et mon administration est exactement la même dans un réseau décentralisé avec des outils uniquement libre.


votre avatar







philanthropos a écrit :



Il ne dis pas que tu ne fais pas partie du réseaux Internet, mais qu’un serveur Perso’, aussi bien configuré soit-il, c’est rien par rapport à la gestion d’un SI de plusieurs milliers de postes/serveurs.





Qu’est ce qu’il y a à comparer.

&nbsp;

Combien il y a d’intervenants qui gravitent autour d’un parc informatique ? Demande a l’administrateur de la BDD d’aller vérifier pourquoi le serveur ne répond plus ?&nbsp; etc…



Mon réseau c’est rien, une brique <img data-src=" />


votre avatar

A 16h21 Bouygues Télécom réfute toute implication dans cette affaire. Après avoir effectué « une investigation en interne »,

l’opérateur affirme être certain que cette faille liée à MongoDB ne le

concerne pas. Mais qui peut bien être cet opérateur imprudent?

votre avatar







Ricard a écrit :



Pourquoi nécessairement root ? Tu donnes les droits à qui tu veux, au groupe que tu veux.





Parce que si je tatonne sur le serveur de BDD de quelqu’un que je connais pas, et que ce serveur me demande une identification, je vais essayer les logins “communs”, à commencer par root, pas XX_NOMDB_VERSION


votre avatar

Actuellement les clients de OVH XDSL ont des problèmes accès sur crétin sites héberger par Iliad!

Peut être cet opérateur imprudent?

votre avatar







GOUPIL-MT a écrit :



Actuellement les clients de OVH XDSL ont des problèmes accès sur crétin sites héberger par Iliad!

Peut être cet opérateur imprudent?





Ou un engorgement, une fibre pétée, n’importe quoi en fait.



Attendons d’avoir des données officielles avant de supposer quoi que ce soit sur l’identité du FAI <img data-src=" />


votre avatar

Ca c’est encore un problème dû au fait que les développeurs font&nbsp;partie de la&nbsp;catégorie fan de lignes de commandes.&nbsp;Ils auraient été propres en faisant une interface graphique claire, ils auraient eu moins de problèmes qu’en laissant les gens se débrouiller avec un fichier texte qui ne donne pas la moindre indication. Quand il s’agit de fichiers textes, pour les admins la plupart du temps c’est de la configuration par tâtonnement, ils ont trouvé une méthode pour se connecter sur leur base et n’ont pas été chercher plus loin. Avec une vraie interface graphique bien claire&nbsp;pour configurer cela (avec aide en ligne) il n’y aurait pas eu ce problème.

votre avatar







philanthropos a écrit :



Il ne dis pas que tu ne fais pas partie du réseaux Internet, mais qu’un serveur Perso’, aussi bien configuré soit-il, c’est rien par rapport à la gestion d’un SI de plusieurs milliers de postes/serveurs.





C’est surtout complètement différent….



Ton métier c’est de gérer un réseau de plusieurs milliers de poste ? Bien, tu es certainement bien plus calé que lui au niveau monitoring, routage, etc…



Par contre on te file un routeur à installer, configurer, sans les précieux templates de ta boite et tu vas faire grave la gueule… lui il saura faire.



&nbsp;Sans vouloir dénigrer les sysadmin de gros parcs, le fait est qu’ils sont plus spécialistes en monitoring et en application de templates tout fait (que ça soit des templates de poste, serveur, routeur, etc…) qu’en administration pure et dure. Tout le contraire d’un sysadmin de petit parc (ou autodidact)…



Cracher sur le manque d’expérience de de recul des sysadmim de petit parc c’est complètement nier la réalité du métier qui veut que ceux de gros parcs n’ont pensé aucun process et se contente d’appliquer bêtement les procédures standards de leur entreprise


votre avatar







V_E_B a écrit :



Comme toujours, tout est dans les justes milieux. Ce n’est pas “noob sortit de l’école” vs “BOFH autodidacte surpuissant”.



Je préfère personnellement une équipe de gens formés, qui complètent par un comportement autodidacte.

Autant quelqu’un qui se base purement sur une formation va voir ses connaissances périmer très vite, autant un tas de trucs passent sous le radar de l’autodidacte pur. Best practices, failles de sécurité, adéquation au scope… Tout le monde peut copier du code de StackOverflow, mais avoir un minimum de background de formation permet d’éviter de prendre du code qui ne passe pas à l’échelle ou totalement deprecated.



Et que les formations n’apprennent rien en veut pas dire qu’elles sont inutiles, juste qu’elles arrivent trop tard. Après, c’est du cas par cas.







Perso je préfère travailler avec des gens compétents et qui savent s’impliquer dans leurs activités, chercher l’info quand ils en ont besoin et savoir la vérifier, et se démerder pour avancer, peu importe le parcours de formation.

Il n’y a rien de mieux que de travailler dans des équipes constituées de personnes comme ça pour pouvoir avancer et se développer. Le pire, c’est de tomber sur ceux qui préfèrent vivre de leurs acquis, ce qui dans ce métier est juste idiot.


votre avatar

Yep, et le meilleur profil pour ça c’est une personne qui a suivit une formation “classique” dans son domaine et qui fait une veille technologique importante durant toute sa carrière.



Pas un gland qui a tout apprit de forums sur le web et qui une fois arrivé à un poste sera paumé car il n’a aucun parcours pluri-disciplinaire, parle 4 mots d’anglais et a systématiquement besoin de Google pour se rappeller une procédure.



Et je parle même pas de tous les “tips” que t’apprend avec un professeur/formateur/stage/autres ; ainsi que ce qui est extrêmement spécialisé et que tu ne trouve tout simplement pas sur le net ou presque.





Alors je donne l’impression de cracher sur les autodidactes mais c’est faux. Simplement que l’écrasante majorité de ces gens se surestiment et font de la merde parce qu’ils ont toujours tout appris seul ou presque et que leur façon de fonctionner s’est basée sur ça.

&nbsp;

Un bon autodidacte, c’est surtout un mec qui est capable de travailler en Team naturellement et d’assumer “qu’il ne sait pas”.

votre avatar







Fuinril a écrit :



Parce que si je tatonne sur le serveur de BDD de quelqu’un que je connais pas, et que ce serveur me demande une identification, je vais essayer les logins “communs”, à commencer par root, pas XX_NOMDB_VERSION





C’est bien ce que je dis.


votre avatar







coolraoul a écrit :



Comment on signal ? jamais trouvé





Dès que tu scroll un peu la page de l’article, une barre se met en place en haut de ton navigateur avec :




  • Le logo NEXT-Inpact ;

  • Un logo de lettre pour partager le contenu ;

  • Un logo avec un point d’exclamation pour signaler une erreur <img data-src=" />



    <img data-src=" />



    Et là, c’est le moment où tu nous dis : “Ho mon dieu, j’avais jamais vu .___.”.


votre avatar

Hop, une petite correction de la niouze dicrètos…







Gatsu35 a écrit :



Comment sur 1 article on peut écrire MangoDB à la place de MongoDB ?&nbsp;

Un peu de recherche aurait permis de voir l’erreur, mangoDB n’existant pas sur une recherche google.





Ben faut changer de moteur de recherche alors. <img data-src=" />

&nbspgithub.com GitHub


votre avatar

Avec des injections en veux-tu en voilà…. Et puis vu que c’est pas une faille… <img data-src=" />

votre avatar







coolraoul a écrit :



Comment on signal ? jamais trouvé







Quand tu descend un petit coup la page de l’article, tu verras qu’en haut apparait une barre avec les éléments suivants :




  • le logo

  • le nombre de partages

  • le logo facebook

  • le logo twitter

  • le logo G+

  • le logo d’envoi par mail

  • le logo avec un panneau et un point d’exclamation, c’est ce dernier à utiliser pour signaler une erreur.


votre avatar

Ne sommes-nous pas aux devants d’un flagrant délit de défaut de non sécurisation ? <img data-src=" />

votre avatar

Pas tout compris…



Si je résume certains admin virent la restriction de connexion par ip. Bien, comme ils le font sur tous les daemons de BDD, que ce soit mysql ou postgre ou sqlserver n’importe quoi….



Sauf que à ma connaissance il y a des user/password pour se connecter à une BDD…. ce n’est pas parce qu’il est possible de se connecter au daemon qu’on peut s’identifier dessus, c’est toute la différence entre une BDD accessible (qui est discutablement une faille de sécu) et une BDD avec “les portes grandes ouvertes” (qui en est une sans conteste).



J’ai du mal à imaginer que la connexion aux BDD d’un grand opérateur puisse s’effectuer via une connexion root sans mdp…

votre avatar







Leynas a écrit :



Sauf que c’est MongoDB avec un O.



Leynas.





Heureusement que ton pseudo, c’est pas “Pov’ con”…



Ricard.


votre avatar

On ne le dira jamais assez : RTFMRage against The Fucking Machine ?

votre avatar

Il faut dire que la réponse de MongoDB est facile avec leur RTFM…

Perso, venant du monde des bases type MySQL (relationnelles donc), la création d’une base de données est souvent soumise à la création d’un user avec un mot de passe associés. Et c’est ultra simple !



Sous MongoDB, pour l’avoir essayé, je peux vous dire que l’aspect autentification est pour le moins … bizarre !

Déjà, juste mettre un “root” est laborieux, car il existe plein de niveau de “root access” ≠ en fonction de côté client, côté sysadmin, côté admin des bdd, …. Alors je ne vous parle même pas des accès “clients”…



On peut créer des bdd à la volée sans avoir d’accès, les scripts type Node.js qui utilisent beaucoup ce type d’approche ! Un des intérêts de MongoDB est que la bdd peut être stockée à côté des fichiers d’une application, mais sans forcément la protéger !



Je vous laisse lire ce billet “HowTo” :http://cwbuecheler.com/web/tutorials/2013/node-express-mongo/

Partie 3 pour la gestion de la bdd… Affligeant de voir que une majorité des apps nodejs utilise cette approche peu sécurisée.



Bref, MongoDB, si tu me lis, simplifie ta gestion des accès !!

Et les SysAdmins, RTFM !!











Fuinril a écrit :



Pas tout compris…





Si je résume certains admin virent la restriction de connexion par ip.

Bien, comme ils le font sur tous les daemons de BDD, que ce soit mysql

ou postgre ou sqlserver n’importe quoi….



Sauf que à ma

connaissance il y a des user/password pour se connecter à une BDD….

ce n’est pas parce qu’il est possible de se connecter au daemon qu’on

peut s’identifier dessus, c’est toute la différence entre une BDD

accessible (qui est discutablement une faille de sécu) et une BDD avec

“les portes grandes ouvertes” (qui en est une sans conteste).



J’ai du mal à imaginer que la connexion aux BDD d’un grand opérateur puisse s’effectuer via une connexion root sans mdp…





Pas mieux :)


votre avatar

Moi, ce qui m’épate le plus, c’est que ces chercheurs recommandent de superbes rustines techniques plus ou moins compliquées, sans se poser la question du fond du problème.



Je cite:

However, a common setup and scalable solution for most Internet services is to have a database server running on one physical machine, while the services using this database service are (often virtualized) running on another machine. In this case, the easiest solution is to comment out the flag […] or to remove it completely, which defaults to accepting all network connections to the database. If access is possible from untrusted machines (e.g., from the Internet) outside the trusted network, it is crucial to also set up transfer encryption and proper access control.



Ben non. Chiffrement et contrôle d’accès au niveau 7, c’est juste regonfler la roue crevée avant d’avoir bouché le trou.&nbsp; “If access is possible from untrusted machines”, c’est juste une bourde d’architecture réseau monumentale. Les deux serveurs (front end & back end) ne communiquent pas à travers l’Internet, mais à travers un réseau local. Le serveur de base de données n’a donc pas besoin d’être accessible depuis l’Internet dans 99,999% des cas.



[EDIT] Retiré un “Problem solved.” final, qui laissait entendre que ce que recommandait les chercheurs était inutile. Ce qui est faux, bien sûr.

votre avatar







Fuinril a écrit :



J’ai du mal à imaginer que la connexion aux BDD d’un grand opérateur puisse s’effectuer via une connexion root sans mdp…





Pourquoi nécessairement root ? Tu donnes les droits à qui tu veux, au groupe que tu veux.


votre avatar

A force de laisser commenter…





Comme expliqué dans l’article il ne s’agit pas d’un problème dans le code de MongoDB , mais d’une mauvaise configuration de la part du dba..

&nbsp;

votre avatar

Comme les commentaires précédent, j’ai l’impression qu’on manque d’infos.



Si ça se trouve il y a un identifiant “passe-partout” qui permet de se connecter une fois la BDD accessible sur internet.

votre avatar

Oui, surtout dans des grands FAI où 42 000 personnes (au pif) ont besoin de la BDD :



 &nbsp;       

- Les employés d'agence ;

- Les SAV Niv'1, 2, etc. ;

- L'administration ;

- Les entreprises tierces ;

- Les services de l'état ;

- Etc.






 Bref, la brèche est potentiellement partout en soit.       






 J'ai été employé en SAV Pro' Orange, et sur la 40aine d'outils que nous utilisions, dont plus de la moitier partagée avec d'autres entreprises pour la sous-traitance, tous utilisaient les dizaines (!) de BDD des utilisateurs sous une forme ou une autre.       






 A partir de là, comme on dit "Il suffit d'une fois" et boum.     













Skywa a écrit :



Comme les commentaires précédent, j’ai l’impression qu’on manque d’infos.




Si ça se trouve il y a un identifiant "passe-partout" qui permet de se connecter une fois la BDD accessible sur internet.









Un identifiant “passe-partout” je ne pense pas, c’est des logiciels Pro’ tout de même <img data-src=" /> C’est pas une backdoor.



Comme beaucoup ici, même si on a pas toutes les infos, je pense plus à des défauts de sécurisation niveau client, genre l’admin’ qui laisse les mdp Root par défaut, ou les stocks en clair à un endroit au pif, etc.



C’est beaucoup plus courant qu’on ne le pense a force de coller des novices sur des postes clés (réalité & expérience du terrain inside …).



Bref, l’affaire d’incompétents plus qu’autre chose surtout (comme souvent).


votre avatar

Le probleme avec Mongo est que la conf par defaut n’est absolument pas securisée et la gestion des utilisateurs est pas super bien branlée.

Sans compter que les docs Mongo sont un peu legeres et n’insistent vraiment pas sur la securisation…



Normalement, on utilise Mongo en local ou alors d’un vlan privé. La securisation se fait au niveau reseau et pas au niveau applicatif.

Mais si tu mets ton cluster Mongo sur des serveurs accessibles publiquement et que tu n’as pas fait l’effort de le securiser alors tu te retrouves dans cette situation…

votre avatar

Comme toujours, tout est dans les justes milieux. Ce n’est pas “noob sortit de l’école” vs “BOFH autodidacte surpuissant”.



Je préfère personnellement une équipe de gens formés, qui complètent par un comportement autodidacte.

Autant quelqu’un qui se base purement sur une formation va voir ses connaissances périmer très vite, autant un tas de trucs passent sous le radar de l’autodidacte pur. Best practices, failles de sécurité, adéquation au scope… Tout le monde peut copier du code de StackOverflow, mais avoir un minimum de background de formation permet d’éviter de prendre du code qui ne passe pas à l’échelle ou totalement deprecated.



Et que les formations n’apprennent rien en veut pas dire qu’elles sont inutiles, juste qu’elles arrivent trop tard. Après, c’est du cas par cas.

votre avatar







ledufakademy a écrit :



Sans dec. tu as quel age ?



une formation est mieux qu’être autodidacte ?<img data-src=" />

Eh bien ecoutes en tant qu’architecte système je peut te garantir que je prefère encadrer une équipe d’autodidactes passionnés qu’une equipe de novice sortant de formation.



99,99% des formations que j’ai faites ne m’ont pratiquement rien appris … j’avais déjà ces bases (ou ce niveau) en m’intéressant par moi-même aux sujets enseignés !



ce n’est que mon vécu.





Gros +1 !



Je bosse dans une boite ou il y à pas mal de turn over et on voit souvent des gens tout frais formé qui joue les jesaistout et qui au final sont perdu quand faut avoir un peu de jugeote et pas reproduire ce qu’ils ont fait en formation.

Parce que faut pas déconner, on devient pas expert avec une formation de 5 jours.

&nbsp;

Et je parle même pas des DBA et autres princesses qui savent même pas installer un windows ou démonter un PC (rage perso… désolé)&nbsp;


votre avatar

Oui, mais faut comparer ce qui est comparable ;)



Evidement qu’un étudiant tout frais sera pas forcément capable de tout faire, y’a une certaine logique là-dedant.



Et un autodidacte qui aura passé son temps devant ton écran, à pratiquer, il saura pas mieux faire parce qu’il aura jamais eu accès à un équipement, aux critique positives et à l’aide d’un enseignant, au travail de groupe avec ses camarades et ses stages, et je t’en passe.



Et encore ! je prend même pas en compte les à-côté : les cours de langues, de gestion, de compta, d’encadrement, enfin tout le barda qui font partie d’une formation un minimum sérieuse.

votre avatar

Ça me rappelle mes premières années de BTS et de licence, avec les chevelus à la voix encore en mue, qui pensaient que ce serait une partie de plaisir “nan, parce que moi, je sais coder en c, alors bon les cours, c’est juste pour le diplôme”, et qui dégagent à la fin de la première année <img data-src=" />

votre avatar







Raikiwi a écrit :



Gros +1 !



Je bosse dans une boite ou il y à pas mal de turn over et on voit souvent des gens tout frais formé qui joue les jesaistout et qui au final sont perdu quand faut avoir un peu de jugeote et pas reproduire ce qu’ils ont fait en formation.

Parce que faut pas déconner, on devient pas expert avec une formation de 5 jours.

 

Et je parle même pas des DBA et autres princesses qui savent même pas installer un windows ou démonter un PC (rage perso… désolé)





D’un autre coté, on devient pas expert en faisant 5 jours de tuto en autodidacte non plus. Faut comparer ce qui est comparable..


votre avatar







ActionFighter a écrit :



Ça me rappelle mes premières années de BTS et de licence, avec les chevelus à la voix encore en mue, qui pensaient que ce serait une partie de plaisir “nan, parce que moi, je sais coder en c, alors bon les cours, c’est juste pour le diplôme”, et qui dégagent à la fin de la première année <img data-src=" />





Putain ils étaient trop forts ceux-là ! Les souvenirs que tu viens de me faire remonter là <img data-src=" />



C’est typiquement des mecs comme ça qu’on va appeler “autodidactes”, ils seront “doué” (relatif) dans leur petit domaine perso’, mais dès qu’il va falloir parler “pluridisciplinaire” y’aura plus personne&nbsp;<img data-src=" />


votre avatar







ledufakademy a écrit :



une formation est mieux qu’être autodidacte ?<img data-src=" />





La question est de savoir en quoi participer à une formation te prive de faire, en plus, le même travail (celui de se former également de façon autonome) qu’un autodidacte.

Ceux qui ne comptent que sur la formation sont plus ou moins à côté de la plaque, idem pour ceux qui ne sont qu’autodidacte….



99.99% de tes formations ne t’ont rien appris ?

Peut-être as-tu manqué la formation qui te permettait de choisir correctement tes futurs formations…


votre avatar

En même temps ne pas confondre « dilettante » et « autodidacte » serait une avancée : un autodidacte a, le plus souvent, fait ses preuves en milieu professionnel. Un autodidacte auto-déclaré incapable de présenter une réalisation significative est nettement plus sujet à caution.

Pour revenir à l’article, c’est quand même assez lamentable ; il y avait déjà eu la même chose il y a quelques années avec memcached. Franchement il y a des manques en matière de formation : « quand quelque chose est en prise directe sur Internet, il s’en prend plein la gueule ». Il suffit de regarder un log pour s’en convaincre.

votre avatar

Comme si j’arrivais à me connecter à internet avec un abonnement Free Mobile…&nbsp;<img data-src=" />

votre avatar

Je vous demande de vous arrêter.



.sanyeL

votre avatar

Toi aussi t’es un reptilien abonné Romanichel Mobile… !



<img data-src=" />



Plus sincèrement je ne pense pas que ce soit Free Mobile, sinon là aie, ça va faire mal…



<img data-src=" />



&nbsp;

votre avatar

hmmm le titre de la news est trompeur. La technologie employée pour la base de données n’a rien à voir avec la sécurisation ou non de celle-ci. Comme Mongo le précise : RTFM.



En lisant juste le titre, on pourrait croire qu’à cause de MongoDB, des bases de données sont librement accessibles.

votre avatar







Cacao a écrit :



hmmm le titre de la news est trompeur. La technologie employée pour la base de données n’a rien à voir avec la sécurisation ou non de celle-ci. Comme Mongo le précise : RTFM.



En lisant juste le titre, on pourrait croire qu’à cause de MongoDB, des bases de données sont librement accessibles.





C’est souvent le cas sur NxInpact comme les autres journaux, une technique vieille comme le monde : un titre accrocheur pour faire vendre/faire des vues.



Et à ce niveau, bien que je le déplore comme toi, NxInpact n’a rien à envier à d’autres ^^



Tout l’intérêt de bien lire les news <img data-src=" />


votre avatar

Oui et non. Le problème est en parti dû à la politique de sécurité par défaut de MongoDB. Ce n’est pas une faille du moteur, mais c’est lié au choix du SGBD. De mémoire, Oracle (par exemple) ne permet pas d’accès sans identifiant.

votre avatar

ça prouve bien l’esprit étroit de cette espèce de dinosaures…

votre avatar







philanthropos a écrit :



Putain ils étaient trop forts ceux-là ! Les souvenirs que tu viens de me faire remonter là <img data-src=" />



C’est typiquement des mecs comme ça qu’on va appeler “autodidactes”, ils seront “doué” (relatif) dans leur petit domaine perso’, mais dès qu’il va falloir parler “pluridisciplinaire” y’aura plus personne <img data-src=" />





Et même dans leur domaine, ils vivent parfois très mal la critique <img data-src=" />



Parce que quand t’as aucune formation sur les bonnes pratiques et que tu fais tout en freestyle, ça peut marcher autant qu’un unijambiste.







malock a écrit :



La question est de savoir en quoi participer à une formation te prive de faire, en plus, le même travail (celui de se former également de façon autonome) qu’un autodidacte.

Ceux qui ne comptent que sur la formation sont plus ou moins à côté de la plaque, idem pour ceux qui ne sont qu’autodidacte….





C’est un bon résumé <img data-src=" />







julien_d a écrit :



Comme si j’arrivais à me connecter à internet avec un abonnement Free Mobile… <img data-src=" />





Moi j’y arrive des fois, ça dépend du sens du vent <img data-src=" />







matroska a écrit :



Toi aussi t’es un reptilien abonné Romanichel Mobile… !





C’est mon côté gauchiste, j’aide les entreprises en difficulté <img data-src=" />


votre avatar

Autre piste véridique (un CG, je peux pas être plus précis mais la il était question de listes très très sensibles)



On t’explique gentiment qu’un sinistre de ce type, ce sera juste 1 à 3 mois de barrouffe dans le presse et puis aprés nada : alors pourquoi se casser le derche à sécuriser ? hein pourquoi ?



Après cegenre de délire ben tu laisses tout par défaut. T’as juste plus le gout.

votre avatar

Je comprends maintenant l’intérêt et l’importance des diplômes pour accéder au monde du travail des professionnels.



Le professionnel certifié: “ Cette ligne elle sert plus a rien je la vire, …”

&nbsp;

Le compétent autodidacte:” Documentation/tutto/forum/ et /join #postgresql “



&nbsp;



&nbsp;



&nbsp;

votre avatar

A moins d’avoir une configuration avec un seul nœud pour une application très basique qui doit être sur le même serveur, il faut forcement ouvrir le port sur d’autres interfaces réseaux tout simplement pour pouvoir établir une connexion avec les autres nœuds en configuration multi-nœuds. Une configuration typique étant constituée de 3 nœuds qui doivent pouvoir communiquer/bavarder.

C’est donc le réseau contenant les bases de données (MongoDB ou autres) qui doit être isolé pour ne pas exposer le port du service à l’extérieur (ceci est vrai pour n’importe quel service interne).

Et a noter que MongoDB propose gratuitement un monitoring optionnel (MMS) qui par défaut lève une alerte si un des nœuds est exposé&nbsp; (port ouvert directement accessible depuis l’internet). Que demander de plus?

votre avatar

Heu, un vrai DBA ne monte pas du MongoDB <img data-src=" />



Citation : “MongoDB est un gadget pour faire plaisir aux développeurs”

votre avatar







ledufakademy a écrit :



Autre piste véridique (un CG, je peux pas être plus précis mais la il était question de listes très très sensibles)




On t'explique gentiment qu'un sinistre de ce type, ce sera juste 1 à 3 mois de barrouffe dans le presse et puis aprés nada : alors pourquoi se casser le derche à sécuriser ? hein pourquoi ?      






Après cegenre de délire ben tu laisses tout par défaut. T'as juste plus le gout.








Ouip, parce que relativement parlant, le coût global de sécurisation d'un SI d'un FAI est beaucoup plus élevé que de sécuriser à minima et prendre des risques.     





Et au final, si un problème arrive, comme tu dis 13 mois de bordel médiatique, et encore à la télé/journaux ça fera 2 jours, les abonnés soit ne le saurons pas/peu, soient s’en foutent souvent, l’état fera un peu chier mais pas plus que ça, et hop.



Alors pourquoi sécuriser x)









pentest a écrit :



Je comprends maintenant l’intérêt et l’importance des diplômes pour accéder au monde du travail des professionnels.




Le professionnel certifié: " Cette ligne elle sert plus a rien je la vire, ..."      

&nbsp;

Le compétent autodidacte:" Documentation/tutto/forum/ et /join #postgresql "









T’as raison oui, c’est vrai qu’un autodidacte saura tout mieux qu’un admin Sys/DBA (correctement) formé <img data-src=" />



J’ajoute que les Tutos/Forums & co’, c’est bien pour des structures petites/moyennes, mais sur des DB de plusieurs millions de personnes, j’ai moyennement confiance dans un forum où il peut potentiellement avoir des erreurs/oublis/etc.



Sans compter que Postgresql c’est cool, mais si tu n’y met pas de MDP ou si tu le stock en clair, ça revient au même.



Comme on tente de l’expliquer, le problème n’est pas vraiment le logiciel en soit, mais le DSI & son équipe derrière.


votre avatar

Je lui fait réciter la documentation par cœur&nbsp; <img data-src=" /> et a la première erreur je le vire. <img data-src=" />

votre avatar







KP2 a écrit :



C’est pas forcement un probleme de competence, ca peut aussi etre un probleme dans la gestion de projet…

Un projet informatique est toujours en retard qqpart donc c’est souvent la doc et la securité qui morflent quand il faut grapiller des jours par ci et par la…

L’important est que ca marche donc la securité, on verra ca plus tard… et puis le “plus tard” est encore repoussé car y’a d’autres trucs urgents et enfin le turn over enterre definitivement le probleme…





L’informatique en France résumée en un paragraphe. GG ! <img data-src=" /> (<img data-src=" />)


votre avatar

Citation de ?

votre avatar

Molière!

votre avatar

d’un DBA.

votre avatar

Moi aussi je suis chez Free Mobile&nbsp;<img data-src=" />

Attendons de savoir quels types de données sont accessibles. Si c’est juste mon nom, mon identifiant client et mon type de forfait, ça peut aller.

votre avatar







agiTed a écrit :



MolièreEinstein!





<img data-src=" />







Groumfy a écrit :



d’un DBA.





Ton DBA est un peu intégriste. MongoDB est une excellente base de données pour des applications où la simplicité de l’infrastructure et de l’applicatif est plus importante que la performance :)


votre avatar

Redis n’est pas donné à tout le monde <img data-src=" />

votre avatar







Citan666 a écrit :



L’informatique en France résumée en un paragraphe. GG ! <img data-src=" /> (<img data-src=" />)







Ça fonctionne aussi pour pas mal d’autres pays.



Leynas.


votre avatar







pentest a écrit :



Je lui fait fais réciter la documentation par cœur  <img data-src=" /> et a la première erreur je le vire. <img data-src=" />







Tu as fait une erreur, on te vire ? <img data-src=" />


votre avatar







Nikodym a écrit :



Redis n’est pas donné à tout le monde <img data-src=" />





C’est pas la base de données des Dieux ?


votre avatar







kras a écrit :



Pareil pour MySQL ou n’importe que BD dont on autorise les accès de toutes les IPs et pas seulement à 127.0.0.1



Une non-information.







Accessible trop facilement pour le coup sous MongoDB :(


votre avatar







julien_d a écrit :



Moi aussi je suis chez Free Mobile <img data-src=" />

Attendons de savoir quels types de données sont accessibles. Si c’est juste mon nom, mon identifiant client et mon type de forfait, ça peut aller.





Et si ce sont tous tes appels et ton historique de data, ça ne va plus ?



Toi, t’as des choses à cacher, c’est louche <img data-src=" />


votre avatar







ActionFighter a écrit :



Et si ce sont tous tes appels et ton historique de data, ça ne va plus ?



Toi, t’as des choses à cacher, c’est louche <img data-src=" />





C’est clair. t<img data-src=" />


votre avatar

Bonjour a touts



Il y a plus information sur le site 01.net concernent les opérateurs mobile français, il est question de ORANGE ou BOUYGUES TELECOM.

votre avatar







GOUPIL-MT a écrit :



Bonjour a touts



Il y a plus information sur le site 01.net concernent les opérateurs mobile français, il est question de ORANGE ou BOUYGUES TELECOM.





En même temps c’est pas compliqué SFR et FREE n’ont pas plus de 8m de clients… <img data-src=" /> :sanschiffre: <img data-src=" />


votre avatar







GOUPIL-MT a écrit :



Bonjour a touts



Il y a plus information sur le site 01.net concernent les opérateurs mobile français, il est question de ORANGE ou BOUYGUES TELECOM.





Visiblement, tu lis aussi bien que tu écris <img data-src=" />





La plupart des opérateurs hexagonaux utilisent en tout cas cette technologie, à l’image de Bouygues Telecom et d’Orange, tous deux cités sur le site de l’éditeur MongoDB.



Rien à voir avec ta formulation qui laisse penser que ces deux opérateurs seraient impliqués dans ces fuites.


votre avatar

Je suis Leynas.<img data-src=" />

votre avatar

désoler <img data-src=" /><img data-src=" />



Je n’est en aucun cas formulé que les deux opérateurs seraient impliqué,&nbsp; j’ai indiquait un peu plus d’information.

votre avatar







GOUPIL-MT a écrit :



désoler <img data-src=" /><img data-src=" />



Je n’est en aucun cas formulé que les deux opérateurs seraient impliqué,  j’ai indiquait un peu plus d’information.





Pa problaime <img data-src=" /> <img data-src=" />


votre avatar







ActionFighter a écrit :



Visiblement, tu lis aussi bien que tu écris <img data-src=" />





Rien à voir avec ta formulation qui laisse penser que ces deux opérateurs seraient impliqués dans ces fuites.





En même temps n’importe quelle grosse société a bien un projet à la con de derrière les fagots qui tourne avec MongDB.


votre avatar







GOUPIL-MT a écrit :



désoler <img data-src=" /><img data-src=" />



Je n’est en aucun cas formulé que les deux opérateurs seraient impliqué,  j’ai indiquait un peu plus d’information.





MY EYES ARE BURNING


votre avatar







jpaul a écrit :



En même temps n’importe quelle grosse société a bien un projet à la con de derrière les fagots qui tourne avec MongDB.





Toute a fée <img data-src=" />


votre avatar

<img data-src=" />

votre avatar

Vu la complexité de mise en place de la bête (en dehors d’un serveur de cache), on peut dire ça oui <img data-src=" />

votre avatar

Sans dec. tu as quel age ?



une formation est mieux qu’être autodidacte ?<img data-src=" />

Eh bien ecoutes en tant qu’architecte système je peut te garantir que je prefère encadrer une équipe d’autodidactes passionnés qu’une equipe de novice sortant de formation.



99,99% des formations que j’ai faites ne m’ont pratiquement rien appris … j’avais déjà ces bases (ou ce niveau) en m’intéressant par moi-même aux sujets enseignés !



ce n’est que mon vécu.

votre avatar







ledufakademy a écrit :



Sans dec. tu as quel age ?



une formation est mieux qu’être autodidacte ?<img data-src=" />

Eh bien ecoutes en tant qu’architecte système je peut te garantir que je prefère encadrer une équipe d’autodidactes passionnés qu’une equipe de novice sortant de formation.



99,99% des formations que j’ai faites ne m’ont pratiquement rien appris … j’avais déjà ces bases (ou ce niveau) en m’intéressant par moi-même aux sujets enseignés !



ce n’est que mon vécu.





A mettre dans le&nbsp; best-of de NxInpact celle-là.



&nbsp;

Déjà ta comparaison tient pas debout un instant. Tu compare des autodidactes (donc qui ne font “que” pratiquer à l’envers et à l’endroit) à des gens qui passent la majorité de leur temps en cours.

L’évidence veut que celui qui pratique sera plus à même d’être opé’ cash sur un projet quelconque.



Alors maintenant, pour être objectif (c’pas ton fort, mais on tente quand même) on va comparer un autodidacte et un sortit de formation : tout le matos auquel on peut avoir accès durant les études (serveurs Cisco’ & gros routeurs, grosse entreprises avec des SI intéressants pour se perfectionner durant les stages, etc,), toutes les précisions des profs’ qui, pour certains, sont des pro’ donc connaissent le sujet, etc. alors qu’un autodidacte aura eu … bah son pc <img data-src=" />



&nbsp;

BON ALLER, on ferme toutes les forma’ informatiques en France et on leur file des liens, des tutos’, un pc et zou ! Ça en fera notre prochaine génération d’informaticiens surqualifiés.



&nbsp;

Bref, blague à part y’a beaucoup de choses que les étudiants ne verrons pas en cours, faute de temps au final ; comme dans toutes les formations de tous les métiers du monde <img data-src=" />



Mais de là à dire qu’à profil équivalent (en expérience) un autodidacte est &gt; à un parcours classique, c’est risible.



Je baroude depuis un moment, et combien j’ai vu de types dans leur trip de gangsta’ “Wai, j’suis autodidacte, j’ai fais ci, ça, et tout ! bla bla bla” ; et puis dans 90 % des cas, les mecs tu les colle sur une infra’ en prod’, et … y’a plus personne parce que tout ce qu’ils ont pu voir un jour derrière leur PC c’est leur écran et rien d’autre.



Bref, si t’es tombé sur des “perles”, tant mieux pour toi, mais à profil équivalent, on colle les deux mecs sur un micro-projet pour les tester et on sais d’avance qui va réussir dans la quasi-totalité des cas.

&nbsp;


MongoDB : des BDD librement accessibles, dont celle d’un opérateur français

  • Des BDD en manque de sécurité laissent fuiter leurs données

  • Une faille ? Non, une configuration des plus bancales...

  • La réaction de MongoDB : RTFM (ou presque) !

Fermer