Des serveurs d'OVH ont été victime d'une attaque. Si aucune nouvelle donnée n'aurait été dérobée, Octave Klaba reconnait une « négligence » dans la maintenance. Le pirate a en effet utilisé deux serveurs qui auraient dû être éteints et un mot de passe qui trainait « accidentellement ».
En 2015, OVH était victime d'une importante faille de sécurité sur ses serveurs. L'hébergeur avait à l'époque prévenu ses clients qu'un pirate avait installé une porte dérobée permettant de récupérer « les logins et les mots de passe des utilisateurs qui se connectaient ». Il avait procédé à une réinitialisation complète des mots de passe, puis migré son forum sur sa plateforme d'hébergement mutualisé. Affaire terminée ? Pas vraiment non...
D'anciens serveurs restent en ligne, dont un qui avait déjà été piraté
Octave Klaba vient en effet d'annoncer que, « lundi 20 février, l’équipe SOC a reçu des alertes signalant des tentatives de connexion sur nos systèmes internes à partir de l’ancien serveur qui hébergeait l’ancien forum d’OVH ». Il s'agit bien du même serveur que celui qui avait été compromis en 2015. Comment cela est-il possible ? « Normalement ce serveur aurait dû être arrêté depuis, mais il est resté allumé » confesse Octave Klaba.
Là où la situation se complique, c'est que pour y accéder, le pirate est passé par un ancien serveur de bordure b10 (qui se trouve dans le réseau interne d'OVH et qui est interconnecté avec Internet). Lui aussi était censé être à la retraite depuis maintenant deux ou trois ans suite à une réorganisation du réseau d'OVH. Il « aurait dû être coupé », ce qui n'était donc pas le cas.
Un mot de passe qui traine « accidentellement » sur un serveur
Les erreurs et les mauvaises nouvelles ne s'arrêtent pas là pour OVH. En effet, après avoir passé au moins trois semaines dans le serveur b10, le pirate « aurait probablement craqué un mot de passe sur le b10 (accidentellement laissé dans /etc/shadow) et ce même mot de passe aurait fonctionné sur l’ancien serveur du forum ». C'est de cette manière qu'il a pu avoir accès à l’ancienne base de données des utilisateurs du forum.
« Nous n’utilisons plus de mots de passe depuis plusieurs années, mais visiblement ces deux vieux serveurs n’ont pas été correctement nettoyés » précise Octave Klaba.
Pas de nouvelles fuites, mais un coup dur pour OVH
Seule bonne nouvelle finalement, OVH « pense » que le pirate n'a pas pu accéder à d'autres serveurs. « Aucun accès sur les données sensibles n’a été trouvé. Aucun bastion n’a été compromis. Aucune clé privée n’a été dérobée » affirme l'hébergeur, qui ajoute tout de même qu'il continue les analyses pour en être sûr.
Quoi qu'il en soit, c'est un coup dur pour OVH qui reconnait une « négligence », mais il est impossible de faire autrement vu les circonstances. Une analyse des infrastructures internes est en cours « afin d'éteindre les serveurs qui auraient dû l’être et mettre au carré tous les systèmes en profondeur ». « Des opérations qui auraient dû être faites depuis un an » conclut le directeur technique du premier hébergeur Internet européen.
Reste maintenant à voir quelle est la ou les personnes derrière cette attaque, ce qui n'est pas précisé par OVH.
Commentaires (64)
C’est dingue quand même
" />
Y’en a un qui a dû prendre cher
Quelle est la probabilité d’un “hack” interne (par un employé) ?
OVH ca veut dire on vous heberge, ou bien on vous hack ?
" />
le /etc/shadow est compromis ? on a de quoi reverse le hash ??
Sur de vieilles machines on peut encore trouver du MD5 ou du SHA-1
" />
D’après les audits de sécurité, cette part n’est jamais négligeable. Un ancien employé qui veut se venger et s’est laissé les moyens de le faire ou un employé actuel qui veut foutre la merde ou mettre quelque chose en lumière, qui sait…
C’est pas très écolo tout ça, monsieur Klaba !!!
" />
Je pense qu’il a utilisé des rainbow tables
Qualité de service en accord avec la grille tarifaire.
Un pirate… ou la NSA/Palentir ?
" />
Ouais… merci pour l’info…
et pourquoi ne pas faire aussi un article sur les autres failles de sécurité importantes du jour?
https://techcrunch.com/2017/02/23/major-cloudflare-bug-leaked-sensitive-data-fro…
https://blog.cloudflare.com/incident-report-on-memory-leak-caused-by-cloudflare-…
ouais, Discord est un des services touché. j’ai reçu un mail ce matin m’invitant à modifier tous mes mots de passes.
Ceci dit, NXI ne fait pas trop non plus sur l’info brute, ils cherchent à avoir un peu de recul donc c’est normal que l’article ne soit pas là 5 minutes après la découverte.
Ouais.
En meme temps avec le nb de serveurs qu’ils se trainent, c’est le genre de meprise qui est plus probable chez eux qu’ailleurs.
Bon point, leur monitoring est assez robuste, ils ont repéré l’intrusion et compris le pb assez rapidement.
Globalement en fait, la news est plutot rassurante, sous des couverts inquietants au 1er abord
Et puis ils communiquent là dessus. Pas comme certains qui restent muets quand ils subissent ce genre d’attaque.
En quoi est ce un coup dur ?
au contraire, cela montre qu’OVH est transparent sur les soucis, comme toujours, et que l’équipe de sécurité à détecté l’intrusion.
La seule erreur finalement c’est l’oubli de stopper la vieille bécane, et il n’y a aucune incidence, excepté qu’au contraire, cela va augmenter encore la sécurité d’OVH.
Quand j’ai reçu l’email d’Octave sur le sujet, cela à confirmé ma confiance en OVH sur ce plan là.
Comme quoi ^^
au moins c’est un forme de transparence, honnête de leur part…
si c’est vrai #illuminati #reptilien #complot
Sans doute… c’est que ça me fait toujours bizarre lorsque la presse informatique du monde entier parle d’un sujet et que NXI semble l’ignorer…
http://fr.lmgtfy.com/?t=n&q=cloudflare
La main invisible du marché libre et ouvert va régler tout ça.
Quand il dit qu’il n’utilisent plus de mots de passe, ça signifie qu’ils utilisent des clés?
Oui, un nain transporte des clés sécurisées de serveur en serveur.
Moi je dit que ce serveur… Is a trap!!!
Mais rien n’est pardonné, mais au moins ils communiquent sur le sujet au lieu de rester dans le mutisme lâche.
Ou, comme certains de mes clients, supprimer tous les mots de passes et laisser tout ouvert \o/
Rien de surprenant vu l’organisation interne de la société .. 
" />
Etre chez ovh et devoir attendre 15 minutes pour créer une bdd et ce faire couper le site si l’affluence est trop grande, ou alors aller chez online et utiliser leur distrib pleine de faille, dur choix !
Elles ont des failles particulières les distribs d’Online ? Source ?
J’espère que tu ne compares pas du dédié et du mutualisé…
J’ai l’impression qu’OVH grandit trop vite et en oublie des fondamentaux…
Ils ouvrent des datacenters à tous de bras mais laissent en service un serveur compromis et se rendent compte d’une intrusion 3 semaines après.
Après comme dit au moins ils communiquent…
http://pastebin.com/4hdLMeHh
Au moins ils sont honnêtes.
T’es dur, ça vaut au moins la moyenne ! 
" />
ça pique !
Est-ce là la cause de la perte de la moitié des serveurs de GRA pendant près d’1h hier soir ?
Suffit de demander. x’)
“ancien serveur de bordure b10”Je suppose qu’il est en DMZ ? Donc pas tout à fait dans le réseau interne d’OVH.
Sûrement qu’ils utilisent hash + salt maintenant
HS : Vous savez ce que donnent Godaddy ? j’ai bien envie de prendre un DS chez eux
Tiens pour réagir à Online.
Ils m’ont cramé un serveur hier, un technicien à ouvert le mauvais interrupteur, coupure electrique dans deux salles chez eux, carte mère cramé.
Sont sympa, ils fournissent un nouveau serveur pour remplacer l’ancien :)
Sinon, pour le reste, tant pis.
OVH m’avais fait le même coup en 2005 (mais sans cramé le serveur)
Online il y avait le CPU qui freezait avec une certaine release de Debian (youhou), GG, vive le C7
Les attaque entre dedibox c’est depuis le début, par contre je n’ai jamais eu de problème, fail2ban etc.
Sinon concernant les releases, elles sont (contrairement au début) très peu modifié par Online, il n’y a pas de kernel spécial (sauf erreur de ma part), je checkerais ce soir vu que je suis entrain de reinstaller mon serveur :)
Edit: Ha sinon, j’ai un serveur en fin de vie, par contre aucun remplacement pour le moment. En gros si il crame je vais me faire (mais dans tous les cas je vais me faire quand même, donc ça changera rien)