Un pirate sur des serveurs « oubliés » d'OVH, Octave Klaba reconnait une négligence

Un pirate sur des serveurs « oubliés » d’OVH, Octave Klaba reconnait une négligence

Et pas qu'une seule...

Avatar de l'auteur
Sébastien Gavois

Publié dans

Internet

24/02/2017
64

Un pirate sur des serveurs « oubliés » d'OVH, Octave Klaba reconnait une négligence

Des serveurs d'OVH ont été victime d'une attaque. Si aucune nouvelle donnée n'aurait été dérobée, Octave Klaba reconnait une « négligence » dans la maintenance. Le pirate a en effet utilisé deux serveurs qui auraient dû être éteints et un mot de passe qui trainait « accidentellement ».

En 2015, OVH était victime d'une importante faille de sécurité sur ses serveurs. L'hébergeur avait à l'époque prévenu ses clients qu'un pirate avait installé une porte dérobée permettant de récupérer « les logins et les mots de passe des utilisateurs qui se connectaient ». Il avait procédé à une réinitialisation complète des mots de passe, puis migré son forum sur sa plateforme d'hébergement mutualisé. Affaire terminée ? Pas vraiment non...

D'anciens serveurs restent en ligne, dont un qui avait déjà été piraté

Octave Klaba vient en effet d'annoncer que, « lundi 20 février, l’équipe SOC a reçu des alertes signalant des tentatives de connexion sur nos systèmes internes à partir de l’ancien serveur qui hébergeait l’ancien forum d’OVH ». Il s'agit bien du même serveur que celui qui avait été compromis en 2015. Comment cela est-il possible ? « Normalement ce serveur aurait dû être arrêté depuis, mais il est resté allumé » confesse Octave Klaba.

Là où la situation se complique, c'est que pour y accéder, le pirate est passé par un ancien serveur de bordure b10 (qui se trouve dans le réseau interne d'OVH et qui est interconnecté avec Internet). Lui aussi était censé être à la retraite depuis maintenant deux ou trois ans suite à une réorganisation du réseau d'OVH. Il « aurait dû être coupé », ce qui n'était donc pas le cas.

Un mot de passe qui traine « accidentellement » sur un serveur

Les erreurs et les mauvaises nouvelles ne s'arrêtent pas là pour OVH. En effet, après avoir passé au moins trois semaines dans le serveur b10, le pirate « aurait probablement craqué un mot de passe sur le b10 (accidentellement laissé dans /etc/shadow) et ce même mot de passe aurait fonctionné sur l’ancien serveur du forum ». C'est de cette manière qu'il a pu avoir accès à l’ancienne base de données des utilisateurs du forum.

« Nous n’utilisons plus de mots de passe depuis plusieurs années, mais visiblement ces deux vieux serveurs n’ont pas été correctement nettoyés » précise Octave Klaba.

Pas de nouvelles fuites, mais un coup dur pour OVH

Seule bonne nouvelle finalement, OVH « pense » que le pirate n'a pas pu accéder à d'autres serveurs. « Aucun accès sur les données sensibles n’a été trouvé. Aucun bastion n’a été compromis. Aucune clé privée n’a été dérobée » affirme l'hébergeur, qui ajoute tout de même qu'il continue les analyses pour en être sûr.

Quoi qu'il en soit, c'est un coup dur pour OVH qui reconnait une « négligence », mais il est impossible de faire autrement vu les circonstances. Une analyse des infrastructures internes est en cours « afin d'éteindre les serveurs qui auraient dû l’être et mettre au carré tous les systèmes en profondeur ». « Des opérations qui auraient dû être faites depuis un an » conclut le directeur technique du premier hébergeur Internet européen.

Reste maintenant à voir quelle est la ou les personnes derrière cette attaque, ce qui n'est pas précisé par OVH. 

64

Écrit par Sébastien Gavois

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

D'anciens serveurs restent en ligne, dont un qui avait déjà été piraté

Un mot de passe qui traine « accidentellement » sur un serveur

Pas de nouvelles fuites, mais un coup dur pour OVH

next n'a pas de brief le week-end

Le Brief ne travaille pas le week-end.
C'est dur, mais c'est comme ça.
Allez donc dans une forêt lointaine,
Éloignez-vous de ce clavier pour une fois !

Commentaires (64)


Le 24/02/2017 à 08h 42

C’est dingue quand même

Y’en a un qui a dû prendre cher <img data-src=" />


Le 24/02/2017 à 08h 42

Quelle est la probabilité d’un “hack” interne (par un employé) ?


Le 24/02/2017 à 08h 43

OVH ca veut dire on vous heberge, ou bien on vous hack ? <img data-src=" />


al_bebert Abonné
Le 24/02/2017 à 08h 43

le /etc/shadow est compromis ? on a de quoi reverse le hash ??


Le 24/02/2017 à 08h 45

Sur de vieilles machines on peut encore trouver du MD5 ou du SHA-1 <img data-src=" />


Le 24/02/2017 à 08h 46

D’après les audits de sécurité, cette part n’est jamais négligeable. Un ancien employé qui veut se venger et s’est laissé les moyens de le faire ou un employé actuel qui veut foutre la merde ou mettre quelque chose en lumière, qui sait…


Jarodd Abonné
Le 24/02/2017 à 08h 48

C’est pas très écolo tout ça, monsieur Klaba !!! <img data-src=" />


Le 24/02/2017 à 08h 51

Je pense qu’il a utilisé des rainbow tables


Le 24/02/2017 à 09h 04

Qualité de service en accord avec la grille tarifaire.&nbsp;


Le 24/02/2017 à 09h 05

Un pirate… ou la NSA/Palentir ?



<img data-src=" />


Ouais… merci pour l’info…

et pourquoi ne pas faire aussi un article sur les autres failles de sécurité importantes du jour?

https://techcrunch.com/2017/02/23/major-cloudflare-bug-leaked-sensitive-data-fro…

https://blog.cloudflare.com/incident-report-on-memory-leak-caused-by-cloudflare-…


Le 24/02/2017 à 09h 10

ouais, Discord est un des services touché. j’ai reçu un mail ce matin m’invitant à modifier tous mes mots de passes.

Ceci dit, NXI ne fait pas trop non plus sur l’info brute, ils cherchent à avoir un peu de recul donc c’est normal que l’article ne soit pas là 5 minutes après la découverte.


Ouais.

En meme temps avec le nb de serveurs qu’ils se trainent, c’est le genre de meprise qui est plus probable chez eux qu’ailleurs.



Bon point, leur monitoring est assez robuste, ils ont repéré l’intrusion et compris le pb assez rapidement.



Globalement en fait, la news est plutot rassurante, sous des couverts inquietants au 1er abord


Le 24/02/2017 à 09h 11

Et puis ils communiquent là dessus. Pas comme certains qui restent muets quand ils subissent ce genre d’attaque.


Daweb Abonné
Le 24/02/2017 à 09h 16

En quoi est ce un coup dur ?

au contraire, cela montre qu’OVH est transparent sur les soucis, comme toujours, et que l’équipe de sécurité à détecté l’intrusion.



La seule erreur finalement c’est l’oubli de stopper la vieille bécane, et il n’y a aucune incidence, excepté qu’au contraire, cela va augmenter encore la sécurité d’OVH.



Quand j’ai reçu l’email d’Octave sur le sujet, cela à confirmé ma confiance en OVH sur ce plan là.

Comme quoi ^^

&nbsp;


Le 24/02/2017 à 09h 19







Krapmeileur vpn a écrit :



Sur de vieilles machines on peut encore trouver du MD5 ou du SHA-1 <img data-src=" />







Oui même les machines virtuelles n’en manquent pas.&nbsp;




  • Vous vous rappelez de la souche de bactéries qui a tué une partie de l’équipe l’an dernier ? Et bien nous avions oublié de jeter un des tubes à essai qui la contenait. Mais ne vous inquiétez pas, nous l’avons détruite.



    • Merci, c’est rassurant de voir que vous prenez la sécurité très au sérieux.









Dr.Wily a écrit :



Et puis ils communiquent là dessus. Pas comme certains qui restent muets quand ils subissent ce genre d’attaque.





lol, voilà une nouvelle occasion de couverture déclarant que “tout est pardonné”.









ActionFighter a écrit :





  • Vous vous rappelez de la souche de bactéries qui a tué une partie de l’équipe l’an dernier ? Et bien nous avions oublié de jeter un des tubes à essai qui la contenait. Mais ne vous inquiétez pas, nous l’avons détruite.



    • Merci, c’est rassurant de voir que vous prenez la sécurité très au sérieux.





      Et bien moi qui bosse justement dans le domaine chez des gens qui sont parmi les plus gros du monde, je pourrais t’en parler….




Le 24/02/2017 à 09h 23







ActionFighter a écrit :





  • Vous vous rappelez de la souche de bactéries qui a tué une partie de l’équipe l’an dernier ? Et bien nous avions oublié de jeter un des tubes à essai qui la contenait. Mais ne vous inquiétez pas, nous l’avons détruite.



    • Merci, c’est rassurant de voir que vous prenez la sécurité très au sérieux.





      Les analogies, un art à la portée de tous







      Drepanocytose a écrit :



      Et bien moi qui bosse justement dans le domaine chez des gens qui sont parmi les plus gros du monde, je pourrais t’en parler….&nbsp;



      Z’ont qu’à faire un régime <img data-src=" />










ITWT a écrit :



lol, voilà une nouvelle occasion de couverture déclarant que “tout est pardonné”.





S’ils n’avaient pas communiqué, il n’y aurait rien eu a pardonner, car tu n’aurais rien su du tout…



tpeg5stan Abonné
Le 24/02/2017 à 09h 25

au moins c’est un forme de transparence, honnête de leur part…



si c’est vrai #illuminati #reptilien #complot


Sans doute… c’est que ça me fait toujours bizarre lorsque la presse informatique du monde entier parle d’un sujet et que NXI semble l’ignorer…

http://fr.lmgtfy.com/?t=n&q=cloudflare








Drepanocytose a écrit :



Et bien moi qui bosse justement dans le domaine chez des gens qui sont parmi les plus gros du monde, je pourrais t’en parler….





N’hésite pas à lancer des alertes, si tu aimes la Russie <img data-src=" />









Drepanocytose a écrit :



S’ils n’avaient pas communiqué, il n’y aurait rien eu a pardonner, car tu n’aurais rien su du tout…





Il est facile de communiquer quand les conséquences immédiates (vol ou destruction) sont inexistantes. Le “pirate” a qd même fait sa vie 3 semaines dans une partie de l’infra et j’aurais été curieux de voir le niveau de comm en cas d’impact direct sur l’intégrité.



C’est de la comm pour du vent, tout est à l’abri, on prend plus de risque à ne rien dire dès fois que ça sorte par ailleurs.



Le 24/02/2017 à 09h 29







BTCKnight a écrit :



Sans doute… c’est que ça me fait toujours bizarre lorsque la presse informatique du monde entier parle d’un sujet et que NXI semble l’ignorer…

http://fr.lmgtfy.com/?t=n&q=cloudflare





NXI est plus généraliste que Silicon, le monde Info ou undernews à mon sens&nbsp;<img data-src=" />



Le 24/02/2017 à 09h 33







BTCKnight a écrit :



Sans doute… c’est que ça me fait toujours bizarre lorsque la presse informatique du monde entier parle d’un sujet et que NXI semble l’ignorer…

http://fr.lmgtfy.com/?t=n&q=cloudflare





Oui assez d’accord, ils pourraient mettre un début d’article avec un bandeau “EN COURS DE REDACTION” histoire de prévenir les gens (surtout quand ça touche à la sécurité!) et le compléter plus tard



Le 24/02/2017 à 09h 34







Drepanocytose a écrit :



Et bien moi qui bosse justement dans le domaine chez des gens qui sont parmi les plus gros du monde, je pourrais t’en parler….





https://wikileaks.org/#submit

Sans plaisanter…



Le 24/02/2017 à 09h 35

La main invisible du marché libre et ouvert va régler tout ça.








jackjack2 a écrit :



https://wikileaks.org/#submit

Sans plaisanter…





Lol.

C’est pareil partout. Discute avec des gzns qui bossent dans le nucleaire, discute avec des gens qui bossent dans l’agro, discute avec des bouseux qui font de l’elevage…

Tu serais surpris



Le 24/02/2017 à 09h 41







Drepanocytose a écrit :



Lol.

C’est pareil partout. Discute avec des gzns qui bossent dans le nucleaire, discute avec des gens qui bossent dans l’agro, discute avec des bouseux qui font de l’elevage…

Tu serais surpris





T’inquiète je bosse dans la chimie, plus rien ne me surprend



Le 24/02/2017 à 09h 47

Quand il dit qu’il n’utilisent plus de mots de passe, ça signifie qu’ils utilisent des clés?


tpeg5stan Abonné
Le 24/02/2017 à 09h 52







Drepanocytose a écrit :



&nbsp;des bouseux qui font de l’elevage…



c’est gentil pour eux&nbsp;<img data-src=" />



Le 24/02/2017 à 09h 52

Oui, un nain transporte des clés sécurisées de serveur en serveur.


OlivierJ Abonné
Le 24/02/2017 à 09h 53







al_bebert a écrit :



le /etc/shadow est compromis ? on a de quoi reverse le hash ??









Krapace a écrit :



Sur de vieilles machines on peut encore trouver du MD5 ou du SHA-1 <img data-src=" />





Oui enfin, avant de trouver un mot de passe qui corresponde à l’empreinte, si tu n’as pas un énorme réseau de machines à disposition, tu peux attendre la retraite.



DUNplus Abonné
Le 24/02/2017 à 10h 00

Moi je dit que ce serveur… Is a trap!!!








jackjack2 a écrit :



Oui assez d’accord, ils pourraient mettre un début d’article avec un bandeau “EN COURS DE REDACTION” histoire de prévenir les gens (surtout quand ça touche à la sécurité!) et le compléter plus tard





Ouais, bien d’accord avec toi… mais ils bossent quand même sur cette info, “finalement”…

https://twitter.com/Seb_NXi/status/835065579421765632



Le 24/02/2017 à 10h 01

Mais rien n’est pardonné, mais au moins ils communiquent sur le sujet au lieu de rester dans le mutisme lâche.


Ou, comme certains de mes clients, supprimer tous les mots de passes et laisser tout ouvert \o/&nbsp;








tpeg5stan a écrit :



c’est gentil pour eux&nbsp;<img data-src=" />





Chacun sa merde



Le 24/02/2017 à 10h 11







Drepanocytose a écrit :



Ouais.

En meme temps avec le nb de serveurs qu’ils se trainent, c’est le genre de meprise qui est plus probable chez eux qu’ailleurs.



Bon point, leur monitoring est assez robuste, ils ont repéré l’intrusion et compris le pb assez rapidement.



Globalement en fait, la news est plutot rassurante, sous des couverts inquietants au 1er abord







+1



Le 24/02/2017 à 10h 12







Drepanocytose a écrit :



Chacun sa merde





<img data-src=" />



Le 24/02/2017 à 10h 15

Rien de surprenant vu l’organisation interne de la société ..&nbsp;<img data-src=" />


Le 24/02/2017 à 10h 41

Etre chez ovh et devoir attendre 15 minutes pour créer une bdd et ce faire couper le site si l’affluence est trop grande, ou alors aller chez online et utiliser leur distrib pleine de faille, dur choix !


TheMyst Abonné
Le 24/02/2017 à 11h 13

Elles ont des failles particulières les distribs d’Online ? Source ?

J’espère que tu ne compares pas du dédié et du mutualisé…


Le 24/02/2017 à 12h 09







jackjack2 a écrit :



Oui assez d’accord, ils pourraient mettre un début d’article avec un bandeau “EN COURS DE REDACTION” histoire de prévenir les gens (surtout quand ça touche à la sécurité!) et le compléter plus tard





Après NXi ne cherche pas à être un relais pour prévenir des failles de sécurité, dans le sens où d’autres site spécialisé dans ce domaine auront l’information bien plus tôt.

Ils cherchent plutôt à expliquer/analyser, avec un peu de recul, ce qui s’est vraiment passé et les conséquences.



Le 24/02/2017 à 12h 29

J’ai l’impression qu’OVH grandit trop vite et en oublie des fondamentaux…

Ils ouvrent des datacenters à tous de bras mais laissent en service un serveur compromis et se rendent compte d’une intrusion 3 semaines après.

Après comme dit au moins ils communiquent…


Whinette Abonné
Le 24/02/2017 à 12h 39
Le 24/02/2017 à 12h 44

Au moins ils sont honnêtes.



Le 24/02/2017 à 13h 03

T’es dur, ça&nbsp;vaut au moins la moyenne&nbsp;! &nbsp;<img data-src=" />


Arcadio Abonné
Le 24/02/2017 à 13h 38

ça pique !


Le 24/02/2017 à 13h 49







DownThemAll a écrit :



J’ai l’impression qu’OVH grandit trop vite et en oublie des fondamentaux…

Ils ouvrent des datacenters à tous de bras mais laissent en service un serveur compromis et se rendent compte d’une intrusion 3 semaines après.

Après comme dit au moins ils communiquent…





Tu penses qu’en grandissant moins vite ça se passerait mieux? Pas sûr…&nbsp;



Le 24/02/2017 à 13h 55

Est-ce là la cause de la perte de la moitié des serveurs de GRA pendant près d’1h hier soir ?


Le 24/02/2017 à 14h 08

Suffit de demander. x’)


Le 24/02/2017 à 14h 30







al_bebert a écrit :



le /etc/shadow est compromis ? on a de quoi reverse le hash ??





En brut force avec assez de puissance, c’est jouable suivant la méthode de hash et la longueur de la chaine ;)



Par contre , le coup de 2 serveurs pas arrêtez alors qu’ils auraient du, dont un déjà vérolé, c’est étrange.

C’est gros, c’est gras.. on dirait un troll.

De là a penser comme certains à une aide interne, il n’y a qu’un pas.



Le 24/02/2017 à 14h 42

“ancien serveur de bordure b10”Je suppose qu’il est en DMZ ? Donc pas tout à fait dans le réseau interne d’OVH.


Le 24/02/2017 à 15h 13







Drepanocytose a écrit :



Lol.

C’est pareil partout. Discute avec des gzns qui bossent dans le nucleaire, discute avec des gens qui bossent dans l’agro, discute avec des bouseux qui font de l’elevage…

Tu serais surpris







Même dans l’administration à un niveau modeste comme moi, t’en vois de belles…



Sinon, ça expliquerait peut-être pourquoi mon Hubic était quasiment inutilisable la dernière fois que j’ai voulu UL une sauvegarde dessus…



Le 24/02/2017 à 15h 44







the_Grim_Reaper a écrit :



[…]

De là a penser comme certains à une aide interne, il n’y a qu’un pas.





J’avoue que c’est la première chose qui m’est venue à l’esprit en lisant la news



Le 24/02/2017 à 15h 56







Whinette a écrit :



http://pastebin.com/4hdLMeHh





Mais non…

Bon si même OVH balance mes infos dans la nature, je passe à keepass ce soir…



Le 24/02/2017 à 18h 23







TheMyst a écrit :



Elles ont des failles particulières les distribs d’Online ? Source ?





Ca m’est arrivé une fois et une fois à un pote il y à pas longtemps, après une réinstallation du système. Pour ma part j’ai carrément eu droit à un mail d’abuse du cnrs… J’ai donc sécurisé jusqu’à ne restreindre le ssh à mon ip, configuration fail2ban et comparnie, 3 jours plus tard un autre mail d’abuse. Après avoir farfouillé dans le forum je n’était pas le seul, j’ai réinstallé et tout est rentré dans l’ordre. Je sais plus si il y à eu une communication officielle la dessus, peut être juste dans le forum j’en sais trop rien ça fait longtemps. Par contre il y à énormément d’attaque de dedibox à dedibox.

&nbsp;

&nbsp;





TheMyst a écrit :



J’espère que tu ne compares pas du dédié et du mutualisé…





Un dédié une fois lancé ça tourne comme une horloge, si tu le reboot une fois l’année c’est déjà beaucoup. Perso j’ai jamais eu de problème, en plus online fournis un serveur de backup, et il y à des tonnes de tuto sur internet sur comment monter un dédié. Ovh j’ai testé une fois, comme je le disais, 15 minutes pour créer une base de donnée c’est même pas la peine… Et pour déployer le site, fichier par fichier en ftp, youpi.



Quand au prix, ils sont quasiment identiques, sauf que sur un dédié chez online tu peut caller 20 site la ou chez ovh tu peut à peine en caler un ( perfs de marde ).



Le 24/02/2017 à 20h 18

Sûrement qu’ils utilisent hash + salt maintenant


Le 24/02/2017 à 22h 20

HS : Vous savez ce que donnent Godaddy ? j’ai bien envie de prendre un DS chez eux


Le 27/02/2017 à 12h 37







Master Of Bandwidth a écrit :



Sûrement qu’ils utilisent hash + salt maintenant





Ca ça signifierait qu’ils utilisent tj des mots de passe



TheMyst Abonné
Le 28/02/2017 à 11h 56

Tiens pour réagir à Online.

Ils m’ont cramé un serveur hier, un technicien à ouvert le mauvais interrupteur, coupure electrique dans deux salles chez eux, carte mère cramé.

Sont sympa, ils fournissent un nouveau serveur pour remplacer l’ancien :)



Sinon, pour le reste, tant pis.



OVH m’avais fait le même coup en 2005 (mais sans cramé le serveur)



Online il y avait le CPU qui freezait avec une certaine release de Debian (youhou), GG, vive le C7



Les attaque entre dedibox c’est depuis le début, par contre je n’ai jamais eu de problème, fail2ban etc.



Sinon concernant les releases, elles sont (contrairement au début) très peu modifié par Online, il n’y a pas de kernel spécial (sauf erreur de ma part), je checkerais ce soir vu que je suis entrain de reinstaller mon serveur :)



Edit: Ha sinon, j’ai un serveur en fin de vie, par contre aucun remplacement pour le moment. En gros si il crame je vais me faire (mais dans tous les cas je vais me faire quand même, donc ça changera rien)