Sécurité

OVH se fait pirater à son tour

OVH s’est fait piraté ses serveurs situés à Roubaix. Rien d’important n’a été dérobé, mais OVH tire la sonnette d’alarme et veut changer son état d’esprit. Il se dit ne pas être « assez « parano » et qu’à présent, c’en est fini de cette attitude « baba cool » ». Des mesures sont donc prises dans le back-office pour séparer les bases de données.

[vc_row][vc_column width= »1/1″][vc_column_text]

Tout a commencé hier lorsque OVH a publié un ticket dans sa liste de travaux :

Bonjour,
Il y a quelques jours, nous avons découvert que la sécurité de notre réseau interne dans nos bureaux à Roubaix a été compromise. Après les investigations en interne, il s’avère qu’un hackeur a réussi à obtenir les accès sur un compte email d’un de nos administrateurs système. Grâce à cet accès email, il a obtenu l’accès sur le VPN interne d’un autre employé. Puis grâce à cet accès VPN, il a fini par compromettre les accès de l’un des administrateurs système qui s’occupe du backoffice
Jusque là, la sécurité interne se basait sur 2 niveaux de vérification:
– géographique: l’obligation d’être au bureau ou

utiliser le VPN, l’ip source
– personnel: le mot de passe

En d’autres termes, un gros coup de bol pour notre hacker qui a eu l’opportunité de saisir un compte admin via un VPN juste à l’aide d’un mot de passe d’email. Mais ne nous arrêtons pas à ce simple geste, les accès qui en découlent sont impressionnant.

La réaction d’OVH face à cette attaque

Le géant de l’hébergement n’est pas resté là les bras croisés, les règles de sécurité en interne ont immédiatement été remodelées :

  • Les mots de passes de tous les employés ont été changés
  • Un nouveau VPN a été installé dans une salle sécurisée
  • La gestion des emails internes n’est désormais possible qu’à partir de ce nouveau VPN
  • Tous les employés passent sur 3 niveaux de vérification : l’IP + le mot de passe + le token hardware

De nouvelles précautions qui sécurisent davantage le réseau interne de l’entreprise.

Les données qui ont fuitées

D’après OVH, le hacker aurait pu avoir accès à deux éléments :

  • La base de donnée des clients Européen
  • L’accès du système d’installation de serveurs au Canada

Et là ca se corse un peu. Moi qui voulait juste poster une petite news, histoire de maintenir à flot le navire de Digital Moustache, je me retrouve d’un seul coup concerné à 200%.

La base de donnée des clients Européen contient les données personnelles des dits clients, et donc les noms/prénoms, le nic, l’adresse postale, la ville, le pays, le téléphone, le fax et surtout, le mot de passe chiffré. OVH nous rassure en nous annonçant que le dit chiffrement est basé sur du SHA512 et donc qu’il peut résister au Bruteforce. Mais nous savons tous que rien n’est impossible, et déchiffrer un mot de passe n’est qu’une question de moyens techniques et de temps.

En revanche, et là dessus OVH est formel, aucune informations bancaire n’a pu être récupérées. Celles ci n’étant pas stockées chez OVH.

Quant au Canada, c’est une autre paire de manche. OVH a demandé à ses clients de retirer leurs clés SSH du serveur, car le hacker aurait très bien pu se connecter via le système de livraison de serveurs pour récupérer les mots de passes enregistrés dans le fichier.

La clé SSH n’est pas utilisable à partir d’un autre serveur, uniquement de notre backoffice au Canada. Et donc dans la mesure où le client n’a pas enlevé notre clé SSH et n’a pas changé de mot de passe root, nous avons immédiatement changé le mot de passe de son serveurs dans le DC à BHS, afin d’annuler ce risque là. Un email sera envoyé aujourd’hui avec le nouveau mot de passe. La clé SSH sera désormais effacé de manière systématique à la fin de la livraison du serveur aussi bien au Canada qu’en Europe. Si le client a besoin d’Ovh pour le support il devra réinstaller une nouvelle clé SSH.

La finalité de l’affaire

OVH annonce qu’ils n’ont pas été assez « parano » et qu’à présent, c’en est fini de cette attitude « baba cool ». Leur backoffice passera dans les prochains mois sous la norme PCI-DSS qui permettra de correctement séparer les bases de données des comptes clients en cas de hack.

Suite à cet incident, OVH dépose également une plainte pénale auprès des autorités ainsi que ses excuses à tous ses clients. Et si comme moi vous possédez une panoplie de comptes chez eux, vous avez surement reçu le mail suivant : Ne le négligez pas ! Changez vos mots de passe le plus vite possible, conseil de Digital Moustache !

[/vc_column_text][/vc_column][/vc_row]

Laisser un commentaire

%d blogueurs aiment cette page :