L’hébergeur français OVH vient d’indiquer que sa base de données de clients Europe a été piratée, et que le pirate responsable de l’intrusion avait également gagné l’accès au système d’installation de serveurs dans son datacenter du Canada. Voila une nouvelle inquiétante pour la société et ses clients !
Oles, le responsable du fournisseur d’accès Internet et hébergeur français OVH joue la carte de la transparence et annonce la couleur via Twiter :
Un incident de sécurité inquiétant tout de même : ” Il y a quelques jours, nous avons découvert que la sécurité de notre réseau interne dans nos bureaux à Roubaix a été compromise “. Si de tels aveux paraissent toujours trop tardifs, il est à souligner que le fondateur et patron du célèbre hébergeur n’est pas avare en détails et tout est récapitulé via un ticket incident spécifique et public.
La base de données clients contenait le nom, prénom, NIC, adresse postale, ville, pays, téléphone, fax ainsi que le mot de passe chiffré avec salage en SHA512 de chacun des clients. Aucune données bancaire n’a été compromise durant l’attaque. Pour récupérer les mots de passe en clair, il faut beaucoup de ressources à disposition mais cela est en théorie possible…
Quant au système de livraison de serveurs au Canada, le risque qu’a identifié OVH est que si le client n’avait pas retiré sa clé SSH du serveur, le pirate aurait pu se connecter à partir du système pour récupérer le mot de passe enregistré dans le fichier .p. La clé SSH n’est pas utilisable à partir d’un autre serveur, uniquement du backoffice OVH, au Canada. “La clé SSH sera désormais effacé de manière systématique à la fin de la livraison du serveur aussi bien au Canada qu’en Europe.“
L’hébergeur, qui a indiqué avoir déposé plainte au pénal auprès des autorités judiciaires, explique que le piratage a pu avoir lieu après que le compte e-mail de l’un des administrateurs systèmes d’OVH a été compromis. “Grâce à cet accès email, il a obtenu l’accès sur le VPN interne d’un autre employé. Puis grâce à cet accès VPN, il a fini par compromettre les accès de l’un des administrateurs système qui s’occupe du backoffice interne“, explique Octave Klaba, le fondateur et dirigeant d’OVH.
Jusqu’à présent, seuls les utilisateurs qui se connectaient à partir d’une adresse IP du réseau interne d’OVH (physique ou par VPN) pouvaient administrer les serveurs, en indiquant simplement un mot de passe. Désormais, OVH a renforcé ses procédures avec un VPN dans une salle sécurisée PCI-DSS “avec accès très restreint“, et l’ajout d’un token hardware personnel pour vérifier que le matériel utilisé pour accéder aux outils d’administration est bien autorisé.
“Nous n’avons pas été assez parano et on passe désormais en mode parano supérieur“, explique Octave Klaba. “Le but est de garantir vos données et se prémunir contre l’espionnage industriel qui viserait les personnes travaillant chez OVH“.
Bien entendu, les clients sont tous invités à changer au plus vite leur mot de passe…
Pour ceux qui souhaite les détails, voici le communiqué officiel d’Octave Klaba ci-dessous :
Bonjour,
Il y a quelques jours, nous avons découvert que
la sécurité de notre réseau interne dans nos
bureaux à Roubaix a été compromise. Après les
investigations en interne, il s’avère qu’un
hackeur a réussi à obtenir les accès sur un compte
email d’un de nos administrateurs système. Grâce
à cet accès email, il a obtenu l’accès sur le VPN
interne d’un autre employé. Puis grâce à cet
accès VPN, il a fini par compromettre les accès
de l’un des administrateurs système qui s’occupe
du backoffice interne.Jusque là, la sécurité interne se basait sur 2
niveaux de vérification:
– géographique: l’obligation d’être au bureau ou
utiliser le VPN, l’ip source
– personnel: le mot de passeLes mesures prises suite à cet incident
—————————————
Immédiatement suite à ce hack, nous avons modifié
les règles de sécurité en interne:
– les mots de passe de tous les employés ont
été régénérés sur tous les types d’accès.
– nous avons mis en place un nouveau VPN
dans une salle sécurisée PCI-DSS avec
accès très restreints
– la consultation des emails internes n’est
désormais possible qu’à partir du bureau/VPN
– tous les salariés passent sur 3 niveaux de
vérification:
– l’ip source
– le mot de passe
– le token hardware personnel (YubiKey)Constat
——-
Après nos investigations internes, nous supposons
que le hackeur a exploité ces accès pour parvenir
à 2 objectifs:
– récupérer la base de données de nos clients Europe
– gagner l’accès sur le système d’installation de
serveurs au CanadaLa base de données de clients Europe comporte les
informations personnelles de clients: le nom, le
prénom, le nic, l’adresse, la ville, le pays,
le téléphone, le fax et le mot de passe chiffré.
Le chiffrement du mot de passe est “salé” et basé
sur SHA512, afin d’éviter le bruteforce. Il faut
beaucoup de moyens technique pour retrouver le mot
de passe en clair. Mais c’est possible. C’est pourquoi
nous vous conseillons de changer le mot de passe
de votre identifiant. Un email sera envoyé aujourd’hui
à tous nos clients expliquant ces mesures de sécurité
et les invitant à changer le mot de passe.
Aucune information sur les cartes bancaires n’est
stockée chez Ovh. Les informations sur les cartes
bancaires n’ont ni été consultées ni copiées.Quant au système de livraison de serveurs au Canada,
le risque que nous avons identifié est que si le
client n’avait pas retiré notre clé SSH du serveur,
le hackeur aurait pu se connecter à partir de notre
système pour récupérer le mot de passe enregistré
dans le fichier .p. La clé SSH n’est pas utilisable
à partir d’un autre serveur, uniquement de notre backoffice
au Canada. Et donc dans la mesure où le client n’a
pas enlevé notre clé SSH et n’a pas changé de mot de
passe root, nous avons immédiatement changé le mot
de passe de son serveurs dans le DC à BHS, afin
d’annuler ce risque là. Un email sera envoyé aujourd’hui
avec le nouveau mot de passe. La clé SSH sera désormais
effacé de manière systématique à la fin de la
livraison du serveur aussi bien au Canada qu’en
Europe. Si le client a besoin d’Ovh pour le support
il devra réinstaller une nouvelle clé SSH.De manière globale, le backoffice passera dans
les prochains mois sous la norme PCI-DSS qui
nous permettra de garantir que le cas d’incident
lié à un hack précis sur les personnes précises
il n’y ait pas d’impact sur nos bases de données.
En un mot, nous n’avons pas été assez parano et on
passe désormais en mode parano supérieur. Le but
est de garantir vos données et se prémunir contre
l’espionnage industriel qui viserait les personnes
travaillant chez Ovh.Nous déposons aussi une plainte pénale auprès
des autorités judiciaires. Afin de ne pas perturber
le travail des enquêteurs, nous n’allons pas
donner d’autres détails avant d’avoir les conclusions
finales.Veuillez accepter nos sincères excuses pour cet
incident. Merci pour votre compréhension.Amicalement
Octave
Je veux récupérer mon compte
Les commentaires sont fermés.