OVH hacké, c’est le branle-bas de combat

OVH s’est fait hacké et ils arrosent tous leurs clients de mails pour changer leurs mot de passe d’accès à leur compte. Impeccable sur la communication puisqu’ils nous expliquent comment s’est déroulé ce hacking… Piratage d’un compte mail d’un admin sys … accès au VPN puis au back-office.

Du coup ils vont passer en mode parano supérieur et renforcer la sécurité… Mais le mal est fait, la base de données client avec toutes leurs coordonnées (hormis la carte bancaire) a sûrement été copiée. Des millions de coordonnées téléphonique et d’adresse e-mail + mot de passe accès à la plateforme ovh.

Bref, ça craint !! et J’ai 4 mots de passe a trouver et à changer ce matin…

Voici les explications from OVH:

Bonjour,
Il y a quelques jours, nous avons découvert que la sécurité de notre réseau interne dans nos bureaux à Roubaix a été compromise. Après les investigations en interne, il s’avère qu’un hackeur a réussi à obtenir les accès sur un compte email d’un de nos administrateurs système. Grâce
à cet accès email, il a obtenu l’accès sur le VPN interne d’un autre employé. Puis grâce à cet accès VPN, il a fini par compromettre les accès
de l’un des administrateurs système qui s’occupe du backoffice interne.

Jusque là, la sécurité interne se basait sur 2 niveaux de vérification:
– géographique: l’obligation d’être au bureau ou utiliser le VPN, l’ip source
– personnel: le mot de passe

Les mesures prises suite à cet incident
—————————————
Immédiatement suite à ce hack, nous avons modifié les règles de sécurité en interne:
– les mots de passe de tous les employés ont été régénérés sur tous les types d’accès.
– nous avons mis en place un nouveau VPN dans une salle sécurisée PCI-DSS avec accès très restreints
– la consultation des emails internes n’est désormais possible qu’à partir du bureau/VPN
– tous les salariés passent sur 3 niveaux de vérification:
– l’ip source
– le mot de passe
– le token hardware personnel (YubiKey)

Constat
——-
Après nos investigations internes, nous supposons que le hackeur a exploité ces accès pour parvenir à 2 objectifs:
– récupérer la base de données de nos clients Europe
– gagner l’accès sur le système d’installation de serveurs au Canada

La base de données de clients Europe comporte les informations personnelles de clients: le nom, le prénom, le nic, l’adresse, la ville, le pays,
le téléphone, le fax et le mot de passe chiffré. Le chiffrement du mot de passe est “salé” et basé sur SHA512, afin d’éviter le bruteforce. Il faut
beaucoup de moyens technique pour retrouver le mot de passe en clair. Mais c’est possible. C’est pourquoi nous vous conseillons de changer le mot de passe de votre identifiant. Un email sera envoyé aujourd’hui à tous nos clients expliquant ces mesures de sécurité et les invitant à changer le mot de passe.
Aucune information sur les cartes bancaires n’est stockée chez Ovh. Les informations sur les cartes bancaires n’ont ni été consultées ni copiées.

Quant au système de livraison de serveurs au Canada, le risque que nous avons identifié est que si le client n’avait pas retiré notre clé SSH du serveur, le hackeur aurait pu se connecter à partir de notre système pour récupérer le mot de passe enregistré dans le fichier .p. La clé SSH n’est pas utilisable à partir d’un autre serveur, uniquement de notre backoffice au Canada. Et donc dans la mesure où le client n’a pas enlevé notre clé SSH et n’a pas changé de mot de passe root, nous avons immédiatement changé le mot de passe de son serveurs dans le DC à BHS, afin
d’annuler ce risque là. Un email sera envoyé aujourd’hui avec le nouveau mot de passe. La clé SSH sera désormais effacé de manière systématique à la fin de la livraison du serveur aussi bien au Canada qu’en Europe. Si le client a besoin d’Ovh pour le support il devra réinstaller une nouvelle clé SSH.

De manière globale, le backoffice passera dans les prochains mois sous la norme PCI-DSS qui nous permettra de garantir que le cas d’incident
lié à un hack précis sur les personnes précises il n’y ait pas d’impact sur nos bases de données.
En un mot, nous n’avons pas été assez parano et on passe désormais en mode parano supérieur. Le but est de garantir vos données et se prémunir contre l’espionnage industriel qui viserait les personnes travaillant chez Ovh.

Nous déposons aussi une plainte pénale auprès des autorités judiciaires. Afin de ne pas perturber le travail des enquêteurs, nous n’allons pas
donner d’autres détails avant d’avoir les conclusions finales.

Veuillez accepter nos sincères excuses pour cet incident. Merci pour votre compréhension.

Amicalement
Octave

Comme quoi, encore une fois aucune structure n’est vraiment à l’abri… et plus on centralise, plus on externalise ses données chez un (seul) fournisseur, plus on attire la convoitise des hackers…

A propos Nicolas Chopin

Fondateur du site SynerGeek.fr. Passionné par l'informatique, le web et les technologies, j'aime partager mes découvertes. Rejoignez-nous pour partager vos connaissances, vos expériences et développer votre réseau professionnel

Je vous propose également...

Zeroshell 3.0.0 est sorti

La nouvelle version de Zeroshell est sortie le 2 janvier dernier. A priori, peu de …

La surveillance américaine expliquée aux patates

L’affaire Snowden n’est pas prête d’être étouffée… Quelle bombe !! Et nos dirigeants s’offusquent maintenant …

7 commentaires

  1. Bonjour,
    Je trouve aussi que la communication a été impeccable, ça rassure la transparence dans ces cas là.
    Pour mes deux comptes, j’ai préféré utiliser la fonction ‘Mot de passe perdu’ pour en avoir un tout neuf et bien généré.
    David

    • Je trouve aussi que la communication a été impeccable… Maintenant je ne sais pas au bout de combien de temps cela s’est fait… temps de remontée des info… enquête… et décision de communiquer

  2. Confonds pas hackers et pirates s’il te plaît ! 🙂

    Au moins OVH admettent qu’ils se sont fait pirater !

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *