87 000 serveurs sont exposés : un carnage annoncé ? Le monde de la cybersécurité est en état de choc depuis le 27 décembre 2025. Une vulnérabilité critique, baptisée MongoBleed en raison de sa ressemblance terrifiante avec le bug Heartbleed, est actuellement exploitée dans la nature. Cette faille permet à n’importe quel attaquant non authentifié d’extraire des données ultra-sensibles directement depuis la mémoire de vos serveurs, et ce, avant même que les systèmes de sécurité n’aient le temps de demander un mot de passe.
La situation est d’autant plus alarmante que les chiffres donnent le vertige : selon Censys, plus de 87 000 instances MongoDB sont vulnérables et directement exposées sur l’internet public. Les recherches de Wiz révèlent même que 42 % des environnements cloud hébergent au moins une instance à risque.
Cette faille, identifiée sous le matricule CVE-2025-14847, provient d’une erreur stupide de gestion de mémoire dans la logique de décompression zlib de MongoDB. En envoyant un paquet réseau malveillant, un pirate peut forcer le serveur à lui renvoyer des fragments de mémoire contenant des identifiants en texte clair, des jetons de session et des clés d’authentification, ainsi que des données personnelles de clients (PII).
Le crash d’Ubisoft : première victime de marque ?
L’exploitation de MongoBleed n’est plus une simple théorie. Coïncidence ou causalité, le géant Ubisoft a vu ses serveurs Rainbow Six Siege piratés au même moment. Des hackers ont injecté deux milliards de crédits dans les comptes des joueurs, forçant la fermeture totale du jeu. Plus grave encore, le groupe VX-Underground rapporte que des attaquants auraient utilisé MongoBleed pour s’emparer de dépôts Git internes contenant du code source datant des années 1990.
Comment colmater la fuite immédiatement ?
Le danger concerne presque toutes les versions, de la préhistorique 3.6 jusqu’à la récente 8.2.2. Si vous gérez vos serveurs vous-même, l’urgence est à la mise à jour vers les versions 8.2.3, 8.0.17 ou 7.0.28.
Si le déploiement immédiat d’un correctif est impossible, voici les mesures de survie conseillées par CyberSecurityNews :
-
Désactivez immédiatement la compression zlib dans vos paramètres réseau.
-
Restreignez l’accès à vos bases de données aux seules adresses IP de confiance via un pare-feu strict.
-
Migrez vers MongoDB Atlas si possible, l’infrastructure cloud du fournisseur ayant déjà été patchée par précaution.
La publication du code d’exploitation (PoC) par les chercheurs a ouvert les vannes : chaque minute sans correctif est une minute de trop pour la sécurité de vos données.
