Nous l’avons appris hier, OVH a subit il y’a quelques jours un incident de sécurité consécutif à un acte de piratage, ayant eu lieu dans les locaux de leur siège social situé à Roubaix. Le ou les pirate(s), auraient compromis le compte email d’un administrateur avant d’accéder illégalement à un VPN et de compromettre le compte d’un autre employé, pour arriver enfin à accéder au backoffice interne.
OVH a d’emblée précisé que la base de données des clients Européens aurait pu être copiée illégalement, laissant filtrer les données suivantes :
- Le nom
- Le prénom
- Le nic
- L’adresse
- La ville
- Le pays
- Le téléphone
- Le fax
- Et le mot de passe (chiffré)
OVH précise toutefois que les informations concernant les cartes bancaires ne sont pas concernées, dans la mesure où celles-ci ne sont pas stockées chez eux. Voilà une partie de ce qu’on pouvait lire sur la fiche d’incident (encore en cours à l’heure où j’écris ces lignes).
Il y a quelques jours, nous avons découvert que la sécurité de notre réseau interne dans nos bureaux à Roubaix a été compromise. Après les investigations en interne, il s’avère qu’un hackeur a réussi à obtenir les accès sur un compte email d’un de nos administrateurs système. Grâce à cet accès email, il a obtenu l’accès sur le VPN interne d’un autre employé. Puis grâce à cet accès VPN, il a fini par compromettre les accès de l’un des administrateurs système qui s’occupe du backoffice interne.
Après nos investigations internes, nous supposons que le hackeur a exploité ces accès pour parvenir
à 2 objectifs :
- Récupérer la base de données de nos clients Europe
- Gagner l’accès sur le système d’installation de serveurs au Canada
La base de données de clients Europe comporte les informations personnelles de clients: le nom, le prénom, le nic, l’adresse, la ville, le pays, le téléphone, le fax et le mot de passe chiffré. Le chiffrement du mot de passe est « salé » et basé sur SHA512, afin d’éviter le bruteforce. Il faut beaucoup de moyens technique pour retrouver le mot de passe en clair. Mais c’est possible. C’est pourquoi nous vous conseillons de changer le mot de passe de votre identifiant. Un email sera envoyé aujourd’hui à tous nos clients expliquant ces mesures de sécurité et les invitant à changer le mot de passe. Aucune information sur les cartes bancaires n’est stockée chez Ovh. Les informations sur les cartes bancaires n’ont ni été consultées ni copiées.
Bref ce n’est pas très rassurant tout ça, surtout si on se fie à cette petite précision :
En un mot, nous n’avons pas été assez parano et on passe désormais en mode parano supérieur. Le but est de garantir vos données et se prémunir contre l’espionnage industriel qui viserait les personnes travaillant chez Ovh.
Si vous avez lue l’annonce d’incident il ne vous a pas échappé qu’OVH est passé de 2 à 3 niveaux de sécurité interne. Alors je sais bien qu’après coup c’est toujours assez facile à dire, surtout quand en plus on n’est pas un spécialiste en la matière. Mais de mon point de vue un hébergeur / fournisseur d’accès comme OVH, se devrait d’être d’office en mode parano supérieur comme ils disent. C’est quand même mieux dans l’absolu, surtout quand on détient un nombre aussi important de données sensibles. Cela dit comme ils roxxent quand même un peu du poney, je ne leur en tient pas rigueur ;).
Je vous conseille quand même (ce qui est logique) dans le cas où vous ne seriez pas au courant faute d’avoir eu le mail ou de l’avoir lu, de changer illico presto votre mot de passe si ce n’est pas encore fait. On n’est jamais trop prudent.
Amusez-vous bien.
Un « hackeur », ou comment continuer à propager le mythe initié par les escrocs des services de sécurité de certains pays que l’on ne nommera pas ainsi que des pseudos-journalistes…
Les hackers ils ont bon dos encore une fois. Enfin, plutôt une bande de guignol de chez OVH qui se la joue administrateur système mais qui ne sait même comment fonctionne un serveur.
Bouffons va!
Ils pourraient quand même offusquer un minimum les informations utilisateurs. Toutes mes bases sont crypté y compris le nom, adresse, mail, etc…
Oui on est d’accord. À part les MPD de passe le reste c’était un peu la fête du slip apparemment.
A partir du moment ou tu fait du cryptage réversible, ont peu se démerder à trouver le reverse. Et pour ces info qui ont besoin d’être lu, le cryptage à sens unique n’est donc pas possible.
On peu toujours se démerder mais ça prend du temps et c’est plus emmerdant. Il ne faut pas oublier que dans pas mal d’attaque et de dump de base de donnée il y a aussi des hacker qui utilises des failles béantes de sécurité, ils n’ont pas tous la capacité à se prendre la tête et à essayer de convertir une base entière complètement offusqer.
plus le down de TOUT les serveur ovh dons google et le site ovh cette nuit pendant 20min…
Il nous ont livré récemment 5 serveurs/7 avec des problèmes matériel (impi). En plus des problèmes serveurs divers, les clients n’ont plus confiance.
Il devrai concentré leur activité et bien faire les choses.
Mais bon, quand je fait mon travail d’hébergeur, je suis en mode parano directe…
J’ai vu ça en effet cette nuit, ils ont du bosser dessus :)
Pour le mode parano on est bien d’accord. Tu bosses dans l’hébergement ?
Je vois pas de raison de coupé tout les serveurs de leur réseau, à moins qu’il maj l’OS/firmware de leur routeur).
Oui, je bosse dans l’hébergement pour e-commerce pour mes revenus fixes.
Ok je me permet une question bête, il est possible de louer un dédié sans avoir à gérer la secu de ce dernier (étant une quiche immonde en la matière) ou ça ne se fait pas en général?
Bas à partir du moment ou il y as un dédié, ça veux dire géré la sécurité. Après tu peu délégué l’infogérance (gestion en générale + monitoring des performances/optimisation + sécurité + backup) à une personne, une entreprise, …
C’est ce qu’on propose avec mon taff d’hébergeur, soit vserver + infogérance, soit dédié + infogérance. Car en générale les clients veulent les performances d’un dédié, le choisir, mais pas le géré.
« Car en générale les clients veulent les performances d’un dédié, le choisir, mais pas le gérer. »
Oui, on ne s’improvise pas admin serveur :)