Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Un pirate sur des serveurs « oubliés » d’OVH, Octave Klaba reconnait une négligence

Et pas qu'une seule...

Un pirate sur des serveurs « oubliés » d'OVH, Octave Klaba reconnait une négligence

Le 24 février 2017 à 08h30

Des serveurs d'OVH ont été victime d'une attaque. Si aucune nouvelle donnée n'aurait été dérobée, Octave Klaba reconnait une « négligence » dans la maintenance. Le pirate a en effet utilisé deux serveurs qui auraient dû être éteints et un mot de passe qui trainait « accidentellement ».

En 2015, OVH était victime d'une importante faille de sécurité sur ses serveurs. L'hébergeur avait à l'époque prévenu ses clients qu'un pirate avait installé une porte dérobée permettant de récupérer « les logins et les mots de passe des utilisateurs qui se connectaient ». Il avait procédé à une réinitialisation complète des mots de passe, puis migré son forum sur sa plateforme d'hébergement mutualisé. Affaire terminée ? Pas vraiment non...

D'anciens serveurs restent en ligne, dont un qui avait déjà été piraté

Octave Klaba vient en effet d'annoncer que, « lundi 20 février, l’équipe SOC a reçu des alertes signalant des tentatives de connexion sur nos systèmes internes à partir de l’ancien serveur qui hébergeait l’ancien forum d’OVH ». Il s'agit bien du même serveur que celui qui avait été compromis en 2015. Comment cela est-il possible ? « Normalement ce serveur aurait dû être arrêté depuis, mais il est resté allumé » confesse Octave Klaba.

Là où la situation se complique, c'est que pour y accéder, le pirate est passé par un ancien serveur de bordure b10 (qui se trouve dans le réseau interne d'OVH et qui est interconnecté avec Internet). Lui aussi était censé être à la retraite depuis maintenant deux ou trois ans suite à une réorganisation du réseau d'OVH. Il « aurait dû être coupé », ce qui n'était donc pas le cas.

Un mot de passe qui traine « accidentellement » sur un serveur

Les erreurs et les mauvaises nouvelles ne s'arrêtent pas là pour OVH. En effet, après avoir passé au moins trois semaines dans le serveur b10, le pirate « aurait probablement craqué un mot de passe sur le b10 (accidentellement laissé dans /etc/shadow) et ce même mot de passe aurait fonctionné sur l’ancien serveur du forum ». C'est de cette manière qu'il a pu avoir accès à l’ancienne base de données des utilisateurs du forum.

« Nous n’utilisons plus de mots de passe depuis plusieurs années, mais visiblement ces deux vieux serveurs n’ont pas été correctement nettoyés » précise Octave Klaba.

Pas de nouvelles fuites, mais un coup dur pour OVH

Seule bonne nouvelle finalement, OVH « pense » que le pirate n'a pas pu accéder à d'autres serveurs. « Aucun accès sur les données sensibles n’a été trouvé. Aucun bastion n’a été compromis. Aucune clé privée n’a été dérobée » affirme l'hébergeur, qui ajoute tout de même qu'il continue les analyses pour en être sûr.

Quoi qu'il en soit, c'est un coup dur pour OVH qui reconnait une « négligence », mais il est impossible de faire autrement vu les circonstances. Une analyse des infrastructures internes est en cours « afin d'éteindre les serveurs qui auraient dû l’être et mettre au carré tous les systèmes en profondeur ». « Des opérations qui auraient dû être faites depuis un an » conclut le directeur technique du premier hébergeur Internet européen.

Reste maintenant à voir quelle est la ou les personnes derrière cette attaque, ce qui n'est pas précisé par OVH. 

Commentaires (64)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Sûrement qu’ils utilisent hash + salt maintenant

votre avatar

HS : Vous savez ce que donnent Godaddy ? j’ai bien envie de prendre un DS chez eux

votre avatar







Master Of Bandwidth a écrit :



Sûrement qu’ils utilisent hash + salt maintenant





Ca ça signifierait qu’ils utilisent tj des mots de passe


votre avatar

Tiens pour réagir à Online.

Ils m’ont cramé un serveur hier, un technicien à ouvert le mauvais interrupteur, coupure electrique dans deux salles chez eux, carte mère cramé.

Sont sympa, ils fournissent un nouveau serveur pour remplacer l’ancien :)



Sinon, pour le reste, tant pis.



OVH m’avais fait le même coup en 2005 (mais sans cramé le serveur)



Online il y avait le CPU qui freezait avec une certaine release de Debian (youhou), GG, vive le C7



Les attaque entre dedibox c’est depuis le début, par contre je n’ai jamais eu de problème, fail2ban etc.



Sinon concernant les releases, elles sont (contrairement au début) très peu modifié par Online, il n’y a pas de kernel spécial (sauf erreur de ma part), je checkerais ce soir vu que je suis entrain de reinstaller mon serveur :)



Edit: Ha sinon, j’ai un serveur en fin de vie, par contre aucun remplacement pour le moment. En gros si il crame je vais me faire (mais dans tous les cas je vais me faire quand même, donc ça changera rien)

votre avatar

C’est dingue quand même

Y’en a un qui a dû prendre cher <img data-src=" />

votre avatar

Quelle est la probabilité d’un “hack” interne (par un employé) ?

votre avatar

OVH ca veut dire on vous heberge, ou bien on vous hack ? <img data-src=" />

votre avatar

le /etc/shadow est compromis ? on a de quoi reverse le hash ??

votre avatar

Sur de vieilles machines on peut encore trouver du MD5 ou du SHA-1 <img data-src=" />

votre avatar

D’après les audits de sécurité, cette part n’est jamais négligeable. Un ancien employé qui veut se venger et s’est laissé les moyens de le faire ou un employé actuel qui veut foutre la merde ou mettre quelque chose en lumière, qui sait…

votre avatar

C’est pas très écolo tout ça, monsieur Klaba !!! <img data-src=" />

votre avatar

Je pense qu’il a utilisé des rainbow tables

votre avatar

Qualité de service en accord avec la grille tarifaire.&nbsp;

votre avatar

Un pirate… ou la NSA/Palentir ?



<img data-src=" />

votre avatar

Ouais… merci pour l’info…

et pourquoi ne pas faire aussi un article sur les autres failles de sécurité importantes du jour?

https://techcrunch.com/2017/02/23/major-cloudflare-bug-leaked-sensitive-data-fro…

https://blog.cloudflare.com/incident-report-on-memory-leak-caused-by-cloudflare-…

votre avatar

ouais, Discord est un des services touché. j’ai reçu un mail ce matin m’invitant à modifier tous mes mots de passes.

Ceci dit, NXI ne fait pas trop non plus sur l’info brute, ils cherchent à avoir un peu de recul donc c’est normal que l’article ne soit pas là 5 minutes après la découverte.

votre avatar

Elles ont des failles particulières les distribs d’Online ? Source ?

J’espère que tu ne compares pas du dédié et du mutualisé…

votre avatar







jackjack2 a écrit :



Oui assez d’accord, ils pourraient mettre un début d’article avec un bandeau “EN COURS DE REDACTION” histoire de prévenir les gens (surtout quand ça touche à la sécurité!) et le compléter plus tard





Après NXi ne cherche pas à être un relais pour prévenir des failles de sécurité, dans le sens où d’autres site spécialisé dans ce domaine auront l’information bien plus tôt.

Ils cherchent plutôt à expliquer/analyser, avec un peu de recul, ce qui s’est vraiment passé et les conséquences.


votre avatar

J’ai l’impression qu’OVH grandit trop vite et en oublie des fondamentaux…

Ils ouvrent des datacenters à tous de bras mais laissent en service un serveur compromis et se rendent compte d’une intrusion 3 semaines après.

Après comme dit au moins ils communiquent…

votre avatar
votre avatar

Au moins ils sont honnêtes.


votre avatar

T’es dur, ça&nbsp;vaut au moins la moyenne&nbsp;! &nbsp;<img data-src=" />

votre avatar

ça pique !

votre avatar







DownThemAll a écrit :



J’ai l’impression qu’OVH grandit trop vite et en oublie des fondamentaux…

Ils ouvrent des datacenters à tous de bras mais laissent en service un serveur compromis et se rendent compte d’une intrusion 3 semaines après.

Après comme dit au moins ils communiquent…





Tu penses qu’en grandissant moins vite ça se passerait mieux? Pas sûr…&nbsp;


votre avatar

Est-ce là la cause de la perte de la moitié des serveurs de GRA pendant près d’1h hier soir ?

votre avatar

Suffit de demander. x’)

votre avatar







al_bebert a écrit :



le /etc/shadow est compromis ? on a de quoi reverse le hash ??





En brut force avec assez de puissance, c’est jouable suivant la méthode de hash et la longueur de la chaine ;)



Par contre , le coup de 2 serveurs pas arrêtez alors qu’ils auraient du, dont un déjà vérolé, c’est étrange.

C’est gros, c’est gras.. on dirait un troll.

De là a penser comme certains à une aide interne, il n’y a qu’un pas.


votre avatar

“ancien serveur de bordure b10”Je suppose qu’il est en DMZ ? Donc pas tout à fait dans le réseau interne d’OVH.

votre avatar







Drepanocytose a écrit :



Lol.

C’est pareil partout. Discute avec des gzns qui bossent dans le nucleaire, discute avec des gens qui bossent dans l’agro, discute avec des bouseux qui font de l’elevage…

Tu serais surpris







Même dans l’administration à un niveau modeste comme moi, t’en vois de belles…



Sinon, ça expliquerait peut-être pourquoi mon Hubic était quasiment inutilisable la dernière fois que j’ai voulu UL une sauvegarde dessus…


votre avatar







the_Grim_Reaper a écrit :



[…]

De là a penser comme certains à une aide interne, il n’y a qu’un pas.





J’avoue que c’est la première chose qui m’est venue à l’esprit en lisant la news


votre avatar







Whinette a écrit :



http://pastebin.com/4hdLMeHh





Mais non…

Bon si même OVH balance mes infos dans la nature, je passe à keepass ce soir…


votre avatar







TheMyst a écrit :



Elles ont des failles particulières les distribs d’Online ? Source ?





Ca m’est arrivé une fois et une fois à un pote il y à pas longtemps, après une réinstallation du système. Pour ma part j’ai carrément eu droit à un mail d’abuse du cnrs… J’ai donc sécurisé jusqu’à ne restreindre le ssh à mon ip, configuration fail2ban et comparnie, 3 jours plus tard un autre mail d’abuse. Après avoir farfouillé dans le forum je n’était pas le seul, j’ai réinstallé et tout est rentré dans l’ordre. Je sais plus si il y à eu une communication officielle la dessus, peut être juste dans le forum j’en sais trop rien ça fait longtemps. Par contre il y à énormément d’attaque de dedibox à dedibox.

&nbsp;

&nbsp;





TheMyst a écrit :



J’espère que tu ne compares pas du dédié et du mutualisé…





Un dédié une fois lancé ça tourne comme une horloge, si tu le reboot une fois l’année c’est déjà beaucoup. Perso j’ai jamais eu de problème, en plus online fournis un serveur de backup, et il y à des tonnes de tuto sur internet sur comment monter un dédié. Ovh j’ai testé une fois, comme je le disais, 15 minutes pour créer une base de donnée c’est même pas la peine… Et pour déployer le site, fichier par fichier en ftp, youpi.



Quand au prix, ils sont quasiment identiques, sauf que sur un dédié chez online tu peut caller 20 site la ou chez ovh tu peut à peine en caler un ( perfs de marde ).


votre avatar

La main invisible du marché libre et ouvert va régler tout ça.

votre avatar







jackjack2 a écrit :



https://wikileaks.org/#submit

Sans plaisanter…





Lol.

C’est pareil partout. Discute avec des gzns qui bossent dans le nucleaire, discute avec des gens qui bossent dans l’agro, discute avec des bouseux qui font de l’elevage…

Tu serais surpris


votre avatar







Drepanocytose a écrit :



Lol.

C’est pareil partout. Discute avec des gzns qui bossent dans le nucleaire, discute avec des gens qui bossent dans l’agro, discute avec des bouseux qui font de l’elevage…

Tu serais surpris





T’inquiète je bosse dans la chimie, plus rien ne me surprend


votre avatar

Quand il dit qu’il n’utilisent plus de mots de passe, ça signifie qu’ils utilisent des clés?

votre avatar







Drepanocytose a écrit :



&nbsp;des bouseux qui font de l’elevage…



c’est gentil pour eux&nbsp;<img data-src=" />


votre avatar

Oui, un nain transporte des clés sécurisées de serveur en serveur.

votre avatar







al_bebert a écrit :



le /etc/shadow est compromis ? on a de quoi reverse le hash ??









Krapace a écrit :



Sur de vieilles machines on peut encore trouver du MD5 ou du SHA-1 <img data-src=" />





Oui enfin, avant de trouver un mot de passe qui corresponde à l’empreinte, si tu n’as pas un énorme réseau de machines à disposition, tu peux attendre la retraite.


votre avatar

Moi je dit que ce serveur… Is a trap!!!

votre avatar







jackjack2 a écrit :



Oui assez d’accord, ils pourraient mettre un début d’article avec un bandeau “EN COURS DE REDACTION” histoire de prévenir les gens (surtout quand ça touche à la sécurité!) et le compléter plus tard





Ouais, bien d’accord avec toi… mais ils bossent quand même sur cette info, “finalement”…

twitter.com Twitter


votre avatar

Mais rien n’est pardonné, mais au moins ils communiquent sur le sujet au lieu de rester dans le mutisme lâche.

votre avatar

Ou, comme certains de mes clients, supprimer tous les mots de passes et laisser tout ouvert \o/&nbsp;

votre avatar







tpeg5stan a écrit :



c’est gentil pour eux&nbsp;<img data-src=" />





Chacun sa merde


votre avatar







Drepanocytose a écrit :



Ouais.

En meme temps avec le nb de serveurs qu’ils se trainent, c’est le genre de meprise qui est plus probable chez eux qu’ailleurs.



Bon point, leur monitoring est assez robuste, ils ont repéré l’intrusion et compris le pb assez rapidement.



Globalement en fait, la news est plutot rassurante, sous des couverts inquietants au 1er abord







+1


votre avatar







Drepanocytose a écrit :



Chacun sa merde





<img data-src=" />


votre avatar

Rien de surprenant vu l’organisation interne de la société ..&nbsp;<img data-src=" />

votre avatar

Etre chez ovh et devoir attendre 15 minutes pour créer une bdd et ce faire couper le site si l’affluence est trop grande, ou alors aller chez online et utiliser leur distrib pleine de faille, dur choix !

votre avatar

Ouais.

En meme temps avec le nb de serveurs qu’ils se trainent, c’est le genre de meprise qui est plus probable chez eux qu’ailleurs.



Bon point, leur monitoring est assez robuste, ils ont repéré l’intrusion et compris le pb assez rapidement.



Globalement en fait, la news est plutot rassurante, sous des couverts inquietants au 1er abord

votre avatar

Et puis ils communiquent là dessus. Pas comme certains qui restent muets quand ils subissent ce genre d’attaque.

votre avatar

En quoi est ce un coup dur ?

au contraire, cela montre qu’OVH est transparent sur les soucis, comme toujours, et que l’équipe de sécurité à détecté l’intrusion.



La seule erreur finalement c’est l’oubli de stopper la vieille bécane, et il n’y a aucune incidence, excepté qu’au contraire, cela va augmenter encore la sécurité d’OVH.



Quand j’ai reçu l’email d’Octave sur le sujet, cela à confirmé ma confiance en OVH sur ce plan là.

Comme quoi ^^

&nbsp;

votre avatar







Krapmeileur vpn a écrit :



Sur de vieilles machines on peut encore trouver du MD5 ou du SHA-1 <img data-src=" />







Oui même les machines virtuelles n’en manquent pas.&nbsp;


votre avatar

  • Vous vous rappelez de la souche de bactéries qui a tué une partie de l’équipe l’an dernier ? Et bien nous avions oublié de jeter un des tubes à essai qui la contenait. Mais ne vous inquiétez pas, nous l’avons détruite.



    • Merci, c’est rassurant de voir que vous prenez la sécurité très au sérieux.


votre avatar







Dr.Wily a écrit :



Et puis ils communiquent là dessus. Pas comme certains qui restent muets quand ils subissent ce genre d’attaque.





lol, voilà une nouvelle occasion de couverture déclarant que “tout est pardonné”.


votre avatar







ActionFighter a écrit :





  • Vous vous rappelez de la souche de bactéries qui a tué une partie de l’équipe l’an dernier ? Et bien nous avions oublié de jeter un des tubes à essai qui la contenait. Mais ne vous inquiétez pas, nous l’avons détruite.



    • Merci, c’est rassurant de voir que vous prenez la sécurité très au sérieux.





      Et bien moi qui bosse justement dans le domaine chez des gens qui sont parmi les plus gros du monde, je pourrais t’en parler….



votre avatar







ActionFighter a écrit :





  • Vous vous rappelez de la souche de bactéries qui a tué une partie de l’équipe l’an dernier ? Et bien nous avions oublié de jeter un des tubes à essai qui la contenait. Mais ne vous inquiétez pas, nous l’avons détruite.



    • Merci, c’est rassurant de voir que vous prenez la sécurité très au sérieux.





      Les analogies, un art à la portée de tous







      Drepanocytose a écrit :



      Et bien moi qui bosse justement dans le domaine chez des gens qui sont parmi les plus gros du monde, je pourrais t’en parler….&nbsp;



      Z’ont qu’à faire un régime <img data-src=" />



votre avatar







ITWT a écrit :



lol, voilà une nouvelle occasion de couverture déclarant que “tout est pardonné”.





S’ils n’avaient pas communiqué, il n’y aurait rien eu a pardonner, car tu n’aurais rien su du tout…


votre avatar

au moins c’est un forme de transparence, honnête de leur part…



si c’est vrai #illuminati #reptilien #complot

votre avatar

Sans doute… c’est que ça me fait toujours bizarre lorsque la presse informatique du monde entier parle d’un sujet et que NXI semble l’ignorer…

http://fr.lmgtfy.com/?t=n&q=cloudflare

votre avatar







Drepanocytose a écrit :



Et bien moi qui bosse justement dans le domaine chez des gens qui sont parmi les plus gros du monde, je pourrais t’en parler….





N’hésite pas à lancer des alertes, si tu aimes la Russie <img data-src=" />


votre avatar







Drepanocytose a écrit :



S’ils n’avaient pas communiqué, il n’y aurait rien eu a pardonner, car tu n’aurais rien su du tout…





Il est facile de communiquer quand les conséquences immédiates (vol ou destruction) sont inexistantes. Le “pirate” a qd même fait sa vie 3 semaines dans une partie de l’infra et j’aurais été curieux de voir le niveau de comm en cas d’impact direct sur l’intégrité.



C’est de la comm pour du vent, tout est à l’abri, on prend plus de risque à ne rien dire dès fois que ça sorte par ailleurs.


votre avatar







BTCKnight a écrit :



Sans doute… c’est que ça me fait toujours bizarre lorsque la presse informatique du monde entier parle d’un sujet et que NXI semble l’ignorer…

http://fr.lmgtfy.com/?t=n&q=cloudflare





NXI est plus généraliste que Silicon, le monde Info ou undernews à mon sens&nbsp;<img data-src=" />


votre avatar







BTCKnight a écrit :



Sans doute… c’est que ça me fait toujours bizarre lorsque la presse informatique du monde entier parle d’un sujet et que NXI semble l’ignorer…

http://fr.lmgtfy.com/?t=n&q=cloudflare





Oui assez d’accord, ils pourraient mettre un début d’article avec un bandeau “EN COURS DE REDACTION” histoire de prévenir les gens (surtout quand ça touche à la sécurité!) et le compléter plus tard


votre avatar







Drepanocytose a écrit :



Et bien moi qui bosse justement dans le domaine chez des gens qui sont parmi les plus gros du monde, je pourrais t’en parler….





https://wikileaks.org/#submit

Sans plaisanter…


Un pirate sur des serveurs « oubliés » d’OVH, Octave Klaba reconnait une négligence

  • D'anciens serveurs restent en ligne, dont un qui avait déjà été piraté

  • Un mot de passe qui traine « accidentellement » sur un serveur

  • Pas de nouvelles fuites, mais un coup dur pour OVH

Fermer