Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

OVH piraté, les clients européens invités à changer leur mot de passe

Y'en a qui ne savent pas comment occuper leurs vacances...

OVH piraté, les clients européens invités à changer leur mot de passe

Le 22 juillet 2013 à 15h31

Après Apple et Ubuntu, c'est au tour d'OVH de faire savoir que la sécurité de ses serveurs a été compromise et que les données clients européens sont dans la nature. Une vaste campagne de mail partira ce jour pour demander à ce que les mots de passe soient réinitialisés.

ovh datacenter strasbourg

 

Encore un. En effet, depuis ce matin les annonces de données volées s'enchainent les unes après les autres. Après Ubuntu et Apple, c'est au tour d'OVH de signaler que les données de ses clients européens sont certainement dans la nature.

 

En effet, la société roubaisienne indique qu'une personne a réussi à pénétrer au sein même de son réseau.

 

Comment ? « Après les investigations en interne, il s'avère qu'un hackeur a réussi à obtenir les accès sur un compte
email d'un de nos administrateurs système. Grâce à cet accès email, il a obtenu l'accès sur le VPN interne d'un autre employé. Puis grâce à cet accès VPN, il a fini par compromettre les accès de l'un des administrateurs système qui s'occupe du backoffice interne.» Tant est si bien que ce pirate a pu faire main basse sur l'ensemble des données incluant nom, prénom, adresse mail, adresse physique, numéro de téléphone, et mot de passe. Ce dernier est chiffré et utilise un algorithme de type « SHA512 », ce qui devrait tout de même limiter le cassage par « force brute ».

 

Comme le dit très clairement la société dans son message,  « Il faut beaucoup de moyens techniques pour retrouver le mot de passe en clair. Mais c'est possible. » Un effort de transparence qui change de ce que l'on constate habituellement, les marques pensant avant tout à minimiser le problème.

 

Quoi qu'il en soit, OVH a d'ores et déjà pris plusieurs mesures d'hygiène informatique. Elle devrait faire partir ce jour une vaste campagne de mail auprès de ses utilisateurs européens afin qu'ils modifient leur mot de passe. La société ajoute qu'aucune donnée bancaire n'est conservée de son côté, ce qui devrait au final limiter les dégâts.

 

Enfin, OVH indique avoir déposé une plainte au pénal et ne donnera pas plus amples détails avant que la justice n'apporte ses conclusions finales.

Commentaires (118)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar



Grâce à cet accès email, il a obtenu l’accès sur le VPN interne d’un autre employé. Puis grâce à cet accès VPN





En gros le hacker s’est servi du compte mail de l’admin :



“Salut Maurice,

Dans le cadre d’un projet d’évolution du VPN, j’aurais besoin de tester ton compte pour faire un test de charge, tu peux m’envoyer tes infos de connexion stp”



et voilà comment on obtient un couple login/mot de passe

votre avatar







benamey a écrit :



+1

Je pensais OVH au dessus du lot niveau sécurité vu leur cœur de métier …







Aucun système connecté au net n’est infaillible… <img data-src=" />


votre avatar



Comme le dit très clairement la société dans son message, « Il faut beaucoup de moyens techniques pour retrouver le mot de passe en clair. Mais c’est possible. » Un effort de transparence qui change de ce que l’on constate habituellement, les marques pensant avant tout à minimiser le problème.



Marrant, parc’que la formulation utilisée dans le mail minimise, justement :



Même si le chiffrement du mot de passe de votre identifiant est très fort,

nous vous conseillons de changer le mot de passe dans les plus brefs délais.



Ça fait moins peur dit comme ça je trouve <img data-src=" />

votre avatar

Pour l’instant pas moyen de changer de mot de passe, aucun email pour confirmer n’arrive d’OVH, enfin c’est pas la première fois qu’il faut 24 heures pour que leurs mails partent, problème récurrent…

votre avatar







BreizFenrir a écrit :



Ta stratégie, une fois qu’on la connait pour un des mots de passe, trouver le million d’autres qui ont été piqués à côté est gratuit. C’est le principal intérêt des fonctions de hashage, surjectives mais non injectives.





Sa strategie est presque infaillible contre des machines, et c’est un systeme qui a été utilisé a de hauts niveaux avec succes. Appliquer un algorithme simple a ton secret avant de le chiffrer de sorte que meme si l’ennemi tombe sur la bonne clé, le message n’a pas de sens…



Meme un ordinateur puissant et savamment programmé aura du mal a comprendre que chaque mot de passe de la BDD fini par un chiffre et que ce chiffre a subit une operation simple avant d’etre stocké (ou tout autre algo simple qui altere le password avant utilisation).



Un ordinateur, si tu lui donnes un mot de passe, qu’il l’essaye, et que ca marche pas, il n’est pas plus avancé et ce, meme si 99 des 100 caracteres du mot de passe sont justes et bien placés, tant qu’il ne sait pas ce qui est faux.



En gros, si tu n’as pas la base de données en clair ainsi qu’un mot de passe valide (ie qui correspond presque au mot de passe de la BDD), puis en deduire l’algo utilisé…



Sachant qu’il a deja fallut voler la BDD, le master password, voir le key file si utilisé…



Du coup…

Ca commence a faire beaucoup. Apres, on peut toujours rajouter une couche de plus, mais si tu reponds encore “ouais mais cette couche la, je la pete si je veux”, on s’en sort pas… <img data-src=" />



Personellement, mes mots de passe gardés par KeePass ne sont pas alterés par un algo “en plus”… Malgré ca, je pense que la suereté de mes mots de passe est dans une moyenne haute par rapport au reste du monde… <img data-src=" />



Je rajoute qu’une fonction de hachage n’est utile que si tu as deja le bon mot de passe pour comparer, et en aucun cas pour le stocker quelque part pour pouvoir t’en souvenir… <img data-src=" />


votre avatar







zefling a écrit :



J’ai changé le mot de passe pour un encore plus long… (Vive KeyPassX)



J’avais une mots de passe totalement inutilisé ailleurs donc je ne panique pas. <img data-src=" />







Hop, idem, vive le générateur de KeePassX aussi <img data-src=" />



C/C du mail que j’ai reçu pour les intéressés :





SAS OVH -ovh.com OVH2 rue Kellermann

BP 80157

59100 Roubaix









Bonjour,

Récemment, nous avons relevé un incident de securité sur notre réseau interne

au siège social d’Ovh.

Nous avons immédiatement sécurisé et enquêté sur l’incident. Nous avons

relevé que la base de données des clients Europe aurait pu être illégalement

copiée. Cette base comporte les données suivantes :

le nom, le prénom, le nic, l’adresse, la ville, le pays, le téléphone, le

fax et le mot de passe chiffré. Les informations sur les cartes bancaires ne

sont pas concernées puisqu’elles ne sont pas stockées par OVH.



Même si le chiffrement du mot de passe de votre identifiant est très fort,

nous vous conseillons de changer le mot de passe dans les plus brefs délais.



En savoir plus sur l’incident de securité:

http://travaux.ovh.net/?do=details&id=8998





Cordialement,



Support Client OVH

Support Technique : 08.99.49.87.65 (1,349 Euro/appel + 0,337 Euro/min)

Support Commercial : 08.20.69.87.65 (Numéro Indigo 0,118 Euro/min)

Fax : 03.20.20.09.58

Contact :ovh.com OVH/fr/contact

Du lundi au vendredi : 8h00 - 20h00

Le samedi : 9h00 - 17h00





Je pense que les salves d’envois doivent être en cours, il est arrivé à 22h chez moi.


votre avatar







fArAwAy a écrit :



Il faut déjà trouver le premier mot de passe.



Ensuite dans la BDD, il faut penser à ne pas mettre les vrais MdP. Une petite règle toute simple pour faire perdre du temps à l’attaquant lle temps de tous rechanger.

Genre le MdP de PCI :




  • indiqué dans la BDD : _tdW]tW3{:r;HAd7

  • utilisé en vrai : _tdW]tW3{:r;HAd8



    +1 sur le dernier nombre (ou +2, ou +3, etc)

    Solution à décliner à l’envie….







    Question de n00B qui tâche : à quoi te sert la BDD si aucun mot de passe n’est correct ?



    Par flemme, je m’en suis toujours remis au Keychain sous OSX, dont le mot de passe principal est celui de la machine. Si j’interprète bien ton astuce, cela consisterai à saisir systématiquement des mots de passe erronés sur le ou les deux derniers caractères (par ex) pour les enregistrer dans KC, puis de corriger la saisie manuellement à chaque login ? (sans les enregistrer bien sûr).


votre avatar

Pas encore reçu le mail, mais MDP changé hier soir.

votre avatar







shugninx a écrit :



Question de n00B qui tâche : à quoi te sert la BDD si aucun mot de passe n’est correct ?





Ils sont incorrects mais sont tous altérés de la même façons, ils deviennent donc tous corrects si tu applique le bon algo avant comparaison.



Il n’est ici question que de sécuriser le stockage.



Pour Keychain se serait possible également, mais il faut (arrêtez-moi si je dis une connerie) distinguer les systèmes :




  • qui ont besoin de pouvoir te ressortir le mot de passe en clair (cryptage/décryptage) comme Keychain

  • de ceux qui ont juste besoin d’appliquer un algo sur un mot de passe saisi pour le comparer avec la bouillie en base ayant subie le même à l’enregistrement, pour s’assurer qu’il s’agit bien du bon (hashage) comme dans le cas des sites Web



    L’idée dans le second cas étant de ne SURTOUT pas stocker les mdp de façon réversible (même si ça l’est toujours, disons pas de façon aisément réversible) au vu de la quantité de mdp stockés et de l’attrait qu’une telle masse d’infos peut représenter en cas d’intrusion.



    Sauf si tu t’appelle Sony et que tes clients, tu les emmerdes, auquel cas tu te fais pas chier et tu stocke tout en clair <img data-src=" />


votre avatar

Personne pour faire remarquer que le SHA a été fait par la NSA ? <img data-src=" />

votre avatar







NiCr a écrit :



Les caractères spéciaux n’apportent rien de plus dans les mots de passe :



https://xkcd.com/936/





ah ouaih ?



style ça :



fghtgv^]-450



… bien sure que si !

car les attaque par dico déjà c mort.

pareil il faut eviter les prenoms, mot anglais aussi !


votre avatar







misterB a écrit :



S’est



ET



Sortent



Ce sont les vacances mais c’est ce n’est pas une raison de défoncer le français <img data-src=" /><img data-src=" />





<img data-src=" /> <img data-src=" />


votre avatar







romjpn a écrit :



Personne pour faire remarquer que le SHA a été fait par la NSA ? <img data-src=" />





Déjà faite sur la news NSA/Linux avec comme réponse “la NSA a déconseillé depuis longtemps le SHA car cassé par des chinoix, il recommande ….”







coucou78 a écrit :



ah ouaih ?



style ça :



fghtgv^]-450



… bien sure que si !

car les attaque par dico déjà c mort.

pareil il faut eviter les prenoms, mot anglais aussi !





Et dates ^^


votre avatar







hadoken a écrit :



Si, çà réduit considérablement la taille du dictionnaire dans le cadre d’une attaque bruteforce, et çà réduit également le nombre de combinaisaons vu que pour la plupart des gens, “pas de caractère spécial” n’implique pas “mot de passe plus long”.









^^ faut cliquez sur le lien <img data-src=" />https://xkcd.com/936/


votre avatar







nucl3arsnake a écrit :



<img data-src=" /> <img data-src=" />





C’est toléré <img data-src=" /><img data-src=" /><img data-src=" />


votre avatar







misterB a écrit :



C’est toléré <img data-src=" /><img data-src=" /><img data-src=" />





jamais vu/entendu un prof validé une négation sans le “ne” dans ce type de phrase ;).



D’aillieur en recherche sur académie française y’a que des ne/n’ - pas ;)


votre avatar

Pourquoi cette actu’ est pas dans la rubrique piratage ?



Ah ben du coup j’ai zappé l’actu’ Apple aussi.

votre avatar

Mouais, même si personne n’est entièrement à l’abri, çà fait quand même pas sérieux quand la sécurité est au premier plan dans le coeur de métier de la société…

votre avatar

Je suis déçu de leur part ….<img data-src=" />

votre avatar

Avec Pirates des Caraïbes diffusé hier, cette vague de piraterie ne m’étonne guère

votre avatar







GoldenTribal a écrit :



Avec Pirates des Caraïbes diffusé hier, cette vague de piraterie ne m’étonne guère







<img data-src=" /> <img data-src=" /> !


votre avatar



Après les investigations en interne, il s’avère qu’un hackeur a réussi à obtenir les accès sur un compte

email d’un de nos administrateurs système. Grâce à cet accès email, il a obtenu l’accès sur le VPN interne d’un autre employé. Puis grâce à cet accès VPN, il a fini par compromettre les accès de l’un des administrateurs système qui s’occupe du backoffice interne.



En gros le mec a ouvert un mail inconnu .. oO ?<img data-src=" />

votre avatar

Une attaque directe sur un employé aura toujours une chance d’aboutir.



Et malgré tout, je serais curieux de savoir combien de sociétés stockent les mots de passe avec un si fort chiffrement. Bon à côté, c’est la grosse blague, parce qu’on peut pas mettre de caractères spéciaux dans les mots de passe chez OVH, du coup ça limite un peu l’efficacité des pass.

votre avatar







nucl3arsnake a écrit :



En gros le mec a ouvert un mail inconnu .. oO ?<img data-src=" />





Non plus le mec a trouvé le mot de passe du mail d’un admin. Et s’est servi de la brèche pour accéder au reste.


votre avatar

Ce qui est faisable, c’est de balancer un mail avec un mot de passe en clair, mais avec reset à la première connexion.

Reste le problème du type jamais connecté.

votre avatar

Le soucis avec un hébérgeur c’est que là pour le coup ça donne beaucoup d’infos personnelles … et potentiellement très fiables. Surtout avec les bots qui envoient tous les trimestres un rappel pour garder à jour les données.

votre avatar







Naunaud a écrit :



Oui, le mot de passe lié à ton ID-OVH :)





Ouai mais j’en ai pass pour l’espace client et un autre pour HubiC.

Les deux sont corrompus ? <img data-src=" />


votre avatar







NiCr a écrit :



Les caractères spéciaux n’apportent rien de plus dans les mots de passe :



https://xkcd.com/936/





Hé bé <img data-src=" />



Faire les calculs, voire expérimenter pour s’en convaincre.

Ne pas oublier que xkcd c’est de l’humour quand même un peu à la base hein?!

Maintenant on peut toujours trouver des cas spéciaux et comparer un mot de passe minuscules seulement de 64 caractères et un mot de passe de 8 caractères spéciaux, mais c’est quand même pas hyper fair-play, non?


votre avatar







scientifik_u a écrit :



Ouai mais j’en ai pass pour l’espace client et un autre pour HubiC.

Les deux sont corrompus ? <img data-src=" />







Possible, tu peux demander à Octave sur Twitter :)


votre avatar







JohnBidule a écrit :



Hé bé <img data-src=" />



Faire les calculs, voire expérimenter pour s’en convaincre.

Ne pas oublier que xkcd c’est de l’humour quand même un peu à la base hein?!

Maintenant on peut toujours trouver des cas spéciaux et comparer un mot de passe minuscules seulement de 64 caractères et un mot de passe de 8 caractères spéciaux, mais c’est quand même pas hyper fair-play, non?





Ils comparent surtout le coté apprentissage du mot de passe. Un pass a 8 avec speciaux, cela peut vite etre chiant a retenir, surtout si tu en as plein. Alors qu’un pass a 64 qui veut dire quelque chose, c’est facile a retenir meme si tu en as plein.


votre avatar

perso je n’ai jamais réussi à retenir mon identifiant ou mon mot de passe ovh donc bonne chance au pirate.

votre avatar







Glyphe a écrit :



Heu le mot de passe de mon compte OVH comporte 26 caractères dont 16 lettres comportant des minuscules et majuscules, 6 numériques et 4 caractères spéciaux.





ça doit être bien pratique à retenir tout ça… <img data-src=" />


votre avatar







kwaio a écrit :



La dernière fois que j’ai vu ça sur un mail interne, le mec c’est pris une grosse raclée par le patron et je me suis laissé dire que ses primes de projet ont été bien moins importantes après ça…





C’est un bon patron <img data-src=" />


votre avatar

V’est la loi des séries en ce moment ! Quand ce n’est pas les accidents d’avion ou les chiens qui mordent des petites filles, ce sont des grosses boites qui se font “intruser”…



Total HS mais je viens de recevoir un mail du site de vente en ligne Oxybul : mot de passe en clair, et diffusé dans le mail par une personne du service client <img data-src=" />

votre avatar







scientifik_u a écrit :



Ouai mais j’en ai pass pour l’espace client et un autre pour HubiC.

Les deux sont corrompus ? <img data-src=" />





Dans le doute, change les deux <img data-src=" />


votre avatar







Zimt a écrit :



C’est un bon patron <img data-src=" />





+1


votre avatar

Sony c’est fait une mauvaise réputation avec ça, Apple, Ubuntu est OHV s’en sorte bien <img data-src=" />

votre avatar

Merci à OVH pour leur réactivité.



Et à ceux qui critiquent, je tiens à rappeler qu’aucun système n’est infaillible, et c’est d’autant plus vrai quand le facteur humain intervient. En l’occurence, je trouve qu’OVH à été très efficace et avait un excellent niveau de sécurité des mots de passe, ce qui est assez remarquable.

votre avatar







flodraft a écrit :



Sony c’est fait une mauvaise réputation avec ça, Apple, Ubuntu est OHV s’en sorte bien <img data-src=" />





S’est



ET



Sortent



Ce sont les vacances mais c’est pas une raison de défoncer le français <img data-src=" /><img data-src=" />


votre avatar







sebcap26 a écrit :



Merci à OVH pour leur réactivité.

Et à ceux qui critiquent, je tiens à rappeler qu’aucun système n’est infaillible, et c’est d’autant plus vrai quand le facteur humain intervient. En l’occurence, je trouve qu’OVH à été très efficace et avait un excellent niveau de sécurité des mots de passe, ce qui est assez remarquable.





+1<img data-src=" />


votre avatar







seboss666 a écrit :



Une attaque directe sur un employé aura toujours une chance d’aboutir.



Et malgré tout, je serais curieux de savoir combien de sociétés stockent les mots de passe avec un si fort chiffrement. Bon à côté, c’est la grosse blague, parce qu’on peut pas mettre de caractères spéciaux dans les mots de passe chez OVH, du coup ça limite un peu l’efficacité des pass.







Euh, si, on peut mettre des caractères spéciaux :)


votre avatar







seboss666 a écrit :



Une attaque directe sur un employé aura toujours une chance d’aboutir.



Et malgré tout, je serais curieux de savoir combien de sociétés stockent les mots de passe avec un si fort chiffrement. Bon à côté, c’est la grosse blague, parce qu’on peut pas mettre de caractères spéciaux dans les mots de passe chez OVH, du coup ça limite un peu l’efficacité des pass.







Les caractères spéciaux n’apportent rien de plus dans les mots de passe :



https://xkcd.com/936/


votre avatar

J’ai gagné le droit de changer de mot de passe ce soir <img data-src=" />





« Il faut beaucoup de moyens techniques pour retrouver le mot de passe en clair. Mais c’est possible. » Un effort de transparence qui change de ce que l’on constate habituellement, les marques pensant avant tout à minimiser le problème.



Effort de transparence tout relatif puisque OVH, c’est avant tout des clients pros et des clients technophiles.



Ils n’ont donc pas intérêts à mentir sous peine de dégrader leur image de marque, déjà écornée par l’affaire HubiC.

votre avatar

Sérieux, y a pas des universités françaises qui forment des spécialistes en sécurité info ? <img data-src=" />



Après, ce sont souvent les DG débiles qui refusent de filer le fric pour mettre en place un vrai système sécurisé (et parfois contraignant pour l’employé).

votre avatar







NiCr a écrit :



Les caractères spéciaux n’apportent rien de plus dans les mots de passe :



https://xkcd.com/936/





Si, çà réduit considérablement la taille du dictionnaire dans le cadre d’une attaque bruteforce, et çà réduit également le nombre de combinaisaons vu que pour la plupart des gens, “pas de caractère spécial” n’implique pas “mot de passe plus long”.


votre avatar

On va tous passer au cryptage généralisé je vous le dis …

votre avatar







Crysalide a écrit :



Sérieux, y a pas des universités françaises qui forment des spécialistes en sécurité info ? <img data-src=" />



Après, ce sont souvent les DG débiles qui refusent de filer le fric pour mettre en place un vrai système sécurisé (et parfois contraignant pour l’employé).





Ben si il y en a plein mais cela aurait rien changé … C’est pas le système qui est en cause, c’est le maillon faible humain qui a pris/mis un mot de passe qui s’est fait avoir.


votre avatar







seboss666 a écrit :



Une attaque directe sur un employé aura toujours une chance d’aboutir.



Et malgré tout, je serais curieux de savoir combien de sociétés stockent les mots de passe avec un si fort chiffrement. Bon à côté, c’est la grosse blague, parce qu’on peut pas mettre de caractères spéciaux dans les mots de passe chez OVH, du coup ça limite un peu l’efficacité des pass.







Heu le mot de passe de mon compte OVH comporte 26 caractères dont 16 lettres comportant des minuscules et majuscules, 6 numériques et 4 caractères spéciaux.


votre avatar

De quel(s) mot(s) de passe s’agit il ?

Connexion au manager ?

votre avatar







hadoken a écrit :



Mouais, même si personne n’est entièrement à l’abri, çà fait quand même pas sérieux quand la sécurité est au premier plan dans le coeur de métier de la société…





+1

Je pensais OVH au dessus du lot niveau sécurité vu leur cœur de métier …


votre avatar







Pc_user a écrit :



De quel(s) mot(s) de passe s’agit il ?

Connexion au manager ?







Peut-être la connexion à la v10 du manager qui aura toutes les fonctionnalités… :)


votre avatar







Jet a écrit :



Je suis déçu de leur part ….<img data-src=" />





OVH a quand même plutôt bien réagi sur ce coup<img data-src=" />:

si les noms, prénoms, adresses, tél. ont bien fuité en clair, les mots de passe sont assez bien chiffrés, et ils recommandent tout de suite de les modifier.



Maintenant, pour ceux qui utilisent partout le même mot de passe, associé au même login qui est le mail qui a fuité… il serait préférable de mettre à jour tous ces comptes.



Quant à ce “piratage”, d’après les détails fournis par OVH, il n’y a clairement pas de négligence caractérisée de sécurisation, d’autant plus qu’ils semblent réagir rapidement, et faire un bon suivi des incidents.



<img data-src=" /> OVH, continuez comme ça<img data-src=" />


votre avatar

C’est la journée dites donc <img data-src=" />

votre avatar

Et voilà, des admins qui envoient des login/pass en clair par mail…

votre avatar







Pc_user a écrit :



De quel(s) mot(s) de passe s’agit il ?

Connexion au manager ?







Oui, le mot de passe lié à ton ID-OVH :)


votre avatar







Zimt a écrit :



Et voilà, des admins qui envoient des login/pass en clair par mail…







La dernière fois que j’ai vu ça sur un mail interne, le mec c’est pris une grosse raclée par le patron et je me suis laissé dire que ses primes de projet ont été bien moins importantes après ça…


votre avatar







Naunaud a écrit :



Oui, le mot de passe lié à ton ID-OVH :)







Thanks


votre avatar

A ceux qui tappent sur OVH sans même savoir exactement comment c’est arrivé, je les invite à découvrir l’effet Dunning Kruger s’ils ne connaissent pas :fr.wikipedia.org WikipediaPour moi c’est probablement un problème PEBKAC, on peut faire le système le plus sécurisé du monde, si il y a des interactions avec des humains c’est quasi impossible de faire un truc 100% secure et moron-proof. Le social engineering a toujours été un des moyens les plus efficaces de compromettre un système… je serais curieux d’avoir des détails sur le hack dans leur cas, genre est-ce qu’un admin a laissé un mot de passe sur un post it… <img data-src=" />

votre avatar







misterB a écrit :



S’est



ET



Sortent



Ce sont les vacances mais c’est pas une raison de défoncer le français <img data-src=" /><img data-src=" />







ce n’est pas



Je ne suis pas en vacances, ça doit venir de là (Mais oui j’avoue je ne me suis pas relu) <img data-src=" />


votre avatar







maxxyme a écrit :



ça doit être bien pratique à retenir tout ça… <img data-src=" />







Heureusement, on a inventé les gestionnaires de mots de passe ! <img data-src=" />

Certains sont open-source et permettent de chiffrer le fichier où est stockée la BDD.


votre avatar







maxxyme a écrit :



ça doit être bien pratique à retenir tout ça… <img data-src=" />







OuiC’est10fi6le90%DuTemps



<img data-src=" />


votre avatar







Glyphe a écrit :



Heureusement, on a inventé les gestionnaires de mots de passe ! <img data-src=" />

Certains sont open-source et permettent de chiffrer le fichier où est stockée la BDD.







Le seul problème c’est quand tu te fais piquer la BDD …


votre avatar







Glyphe a écrit :



Heureusement, on a inventé les gestionnaires de mots de passe ! <img data-src=" />

Certains sont open-source et permettent de chiffrer le fichier où est stockée la BDD.





Qui font que si le méchant pirate, il découvre le mot de passe du gestionnaire et a accès a la BDD, tu ais encore plus baisé.


votre avatar







Ingénieur informaticien a écrit :



Le seul problème c’est quand tu te fais piquer la BDD …







Je ne suis pas quelqu’un de très important et vu le chiffrement possible actuel, il faudra de toute façon des mois pour la bruteforcer avec du très bon matos … donc ça n’en vaut strictement pas la peine.



OVH est une cible intéressante, moi pas ! <img data-src=" />


votre avatar







yeagermach1 a écrit :



Qui font que si le méchant pirate, il découvre le mot de passe du gestionnaire et a accès a la BDD, tu ais encore plus baisé.







Encore une fois (faut vraiment radoter ces temps-ci !) la sécurité absolue n’existe pas ! Mais je fais finalement plus confiance à mes propres capacité à sécurisé mes ordinateurs qu’à des boites dont la seule existence est la rentabilité ! :)


votre avatar







yeagermach1 a écrit :



Qui font que si le méchant pirate, il découvre le mot de passe du gestionnaire et a accès a la BDD, tu ais encore plus baisé.





Il faut déjà trouver le premier mot de passe.



Ensuite dans la BDD, il faut penser à ne pas mettre les vrais MdP. Une petite règle toute simple pour faire perdre du temps à l’attaquant lle temps de tous rechanger.

Genre le MdP de PCI :




  • indiqué dans la BDD : _tdW]tW3{:r;HAd7

  • utilisé en vrai : _tdW]tW3{:r;HAd8



    +1 sur le dernier nombre (ou +2, ou +3, etc)

    Solution à décliner à l’envie….


votre avatar

A cette heure-ci, je constate qu’il n’y a aucune alerte sur le site web d’OVH.com ni OVHTELECOM (OVH.fr) ….



En temps que client je viens de leur envoyer une demande d’explication ……..

Ils auraient pu au moins mettre une alerte sur leur site web avant de dire par news interposée qu’ils vont un jour envoyer un mail.



Ca fait pas très pro pour le coup !

Même s’ils n’ont pas qualifié leur incident, vu l’impact, ils peuvent dire qu’ils sont en incident et qu’ils s’engagent à mettre à jour toutes les X heures l’avancement de l’analyse !






votre avatar

J’ai changé le mot de passe pour un encore plus long… (Vive KeyPassX)



J’avais une mots de passe totalement inutilisé ailleurs donc je ne panique pas. <img data-src=" />

votre avatar

y’a un mec qui a réussi à prouver P=NP ou quoi ?

enfin en tout cas je ferais comme lui, vachement plus rentable de revendre des mots de passe que les 1M de dollars promis

votre avatar

O la VH ! <img data-src=" />

votre avatar

sinon petit HS.



C’est bien de bosser pou OVH ?

Niveau ambiance et paye … .



Merci

votre avatar







Blakbear a écrit :



Pour moi c’est probablement un problème PEBKAC, on peut faire le système le plus sécurisé du monde, si il y a des interactions avec des humains c’est quasi impossible de faire un truc 100% secure et moron-proof. Le social engineering a toujours été un des moyens les plus efficaces de compromettre un système… je serais curieux d’avoir des détails sur le hack dans leur cas, genre est-ce qu’un admin a laissé un mot de passe sur un post it… <img data-src=" />





La conclusion d’OVH est qu’ils n’avaient pas été assez parano, ce qui a permit l’attaque. cf compte rendu officiel :http://travaux.ovh.net/?do=details&id=8998



Moi je ne suis pas du même avis, au vu de leur compte rendu : ils avaient une grosse faille via des accès VPN bien trop puissants et mal contrôlé. Bref, ce qui est arrivé leur pendait au nez.



Maintenant qu’ils contrôlent la machine, faut rajouter le vol du portable d’un employé pour permettre l’accès VPN, ce qui rend l’attaque peu aisé (quand tu sais plus ou est ton portable ne serait-ce que pendant un court moment, t’appel ta boite et ton accès est verrouillé). Mais clairement, ils ont tendu le baton pour se faire battre et se sont fait battre, faut pas dire que c’est la faute de l’impossibilité de faire un système 100% sécurisé, c’est juste qu’ils n’avaient pas assez de contrôles sur les accès à leur infra.



Enfin, si leur transparance quand à l’incident est appréciable, il faut bien noter que l’on parle là d’un incident qui est arrivé il y a plusieurs jours. Et qu’ils n’en avaient rien dit, alors qu’ils auraient du immédiatement avertir leur clientèle…


votre avatar

J’ai bien aimé l’actualité sur le site de OHV, ils peuvent y retourner



ovh.com OVH

votre avatar







juninho69 a écrit :



sinon petit HS.



C’est bien de bosser pou OVH ?

Niveau ambiance et paye … .



Merci





C’est la question que je me pose. Niveau paye je ne me fais pas trop d’illusion… Après faut voir pour le reste?


votre avatar

Les données des clients ADSL sont aussi dans la nature ?

votre avatar

le SHA512 n’est pas un chiffrement non ? c’est “juste” un Hachage de haut niveau nan ?



un chiffrement pour moi ça serait AES 256 ou Serpent ou Blowfish/twofish etc

votre avatar

enfin je suppose que “ si “.

quelque part un password en SHA512 donne un truc vraiment complexe à decripter.

votre avatar

http://travaux.ovh.net/?do=details&id=8998

Veuillez accepter nos sincères excuses pour cet

incident. Merci pour votre compréhension.



Nos téléphones et données personnelles sont dans la nature.



Pour envisager un dédommagement, on prend des oignons pour pleurer, mais pas trop gros dans le cas où ils devront rentrer quelque part ?

votre avatar







misterB a écrit :



S’est



ET



Sortent



Ce sont les vacances mais c’est pas une raison de défoncer le français <img data-src=" /><img data-src=" />









Une pacefraze avé dé phot sé plu difissil a retrouvé pour le pis rat kan mèm !


votre avatar







Texas Ranger a écrit :



enfin je suppose que “ si “.

quelque part un password en SHA512 donne un truc vraiment complexe à decripter.







Avec une bonne centaine de GPU, cela le devient nettement moins ;)


votre avatar

Personnellement je connais quelqu’un qui a vu les mots de passes de son compte OVH changés hier ! (manager + ftp) ainsi que ses comptes GMAIL attaqués…



Il n’a compris que ce qu’il lui arrivait aujourd’hui en voyant ça… il pensait à une attaque ciblée!

votre avatar







Texas Ranger a écrit :



le SHA512 n’est pas un chiffrement non ? c’est “juste” un Hachage de haut niveau nan ?



un chiffrement pour moi ça serait AES 256 ou Serpent ou Blowfish/twofish etc



On ne stoque jamais de mot de passe chiffrés avec un algo symétrique (tu chopes la clé tous les pwd sont corrompus, gg), mais des empreintes.

Et sur le coup on ne peut pas reprocher grand chose à OVH sur ce point, sachant que contrairement à certaines boites ils ne se sont pas contentés d’un simple hash (sensible aux rainbow tables) mais qu’ils ont annoncés que les mdp sont saltés (http://fr.wikipedia.org/wiki/Fonction_de_hachage#Salage )


votre avatar

Mot de passe changé ^^

votre avatar

Le soucis principal semble provenir d’un acces remote (VPN) peu ou mal protege. Surement une authentification basique avec login / mot de passe. Malheureusement beaucoup trop d’entreprises ne mesurent pas assez le risque induit par de tels accès depuis l’exterieur.

votre avatar

Les données ont été distribuées sur les forums hacker, j’ai plusieurs comptes qui recoivent des dizaines de demandes de modifications de mot de passe et d’email.



J’ai tout juste eu le temps de modifier tous les mdp FTP et nic ovh.



Les emails associés sont attaqués systématiquement (pour ceux qui ont mis le même mot de passe, j’en connais, ça veut dire par exemple sur gmail, email de secours modifié, numéro de tél associé modifié etc… du coup galère pour récupérer son compte, google ne vous croyant pas).



Vos numéros de téléphone sont certainement sur des listes de spam sms désormais…





Bref merci OVH <img data-src=" /><img data-src=" /><img data-src=" />

votre avatar







simK a écrit :



Personnellement je connais quelqu’un qui a vu les mots de passes de son compte OVH changés hier ! (manager + ftp) ainsi que ses comptes GMAIL attaqués…



Il n’a compris que ce qu’il lui arrivait aujourd’hui en voyant ça… il pensait à une attaque ciblée!





Il y a beaucoup plus de chances que ca soit effectivement une attaque ciblée plutot que le hackeur qui a retrouvé son mot de passe a partir des hash volés…



Du SHA512 salté n’a presque aucun interet pour celui qui le vole. Meme pour attaquer une seule personne en y mettant des moyens enormes.



Et quand tu dis que son compte Gmail a été attaqué aussi, le detecteur de mauvaises pratiques se met a clignoter de partout…

S’il utilise le meme mot de passe partout, ses soucis ne sont sans doute pas dus au piratage d’OVH…


votre avatar

non car il avait utilisé un mot de passe pas très secure, un bete bruteforce a du casser ça en 10min



mais effectivement, même mdp partout, du coup depuis OVH (il a reçu une notification de connexion puis de changement de mdp à la suite) ils ont eu l’email et ils ont tenté le même mdp, il a donc perdu tout accès 15min plus tard.



Je l’ai engueulé et il comprend pq il faut des mdp différents !

votre avatar







fArAwAy a écrit :



Ensuite dans la BDD, il faut penser à ne pas mettre les vrais MdP. Une petite règle toute simple pour faire perdre du temps à l’attaquant lle temps de tous rechanger.

Genre le MdP de PCI :




  • indiqué dans la BDD : _tdW]tW3{:r;HAd7

  • utilisé en vrai : _tdW]tW3{:r;HAd8



    +1 sur le dernier nombre (ou +2, ou +3, etc)

    Solution à décliner à l’envie….





    Ta stratégie, une fois qu’on la connait pour un des mots de passe, trouver le million d’autres qui ont été piqués à côté est gratuit. C’est le principal intérêt des fonctions de hashage, surjectives mais non injectives.



    Correctement utilisées, associées à un sel, il est extrêmement difficile et coûteux en ayant récupéré le résultat de la fonction de hashage de trouver une des valeurs à son origine. Et quand on trouve une valeur, c’est la même difficulté pour trouver chacune des autres.



    Après, c’est pas toujours bien utilisé (c’est mal), quand c’est utilisé (si non, c’est très mal).







    Texas Ranger a écrit :



    le SHA512 n’est pas un chiffrement non ? c’est “juste” un Hachage de haut niveau nan ?



    un chiffrement pour moi ça serait AES 256 ou Serpent ou Blowfish/twofish etc





    Tout à fait. <img data-src=" />


votre avatar







nucl3arsnake a écrit :



jamais vu/entendu un prof validé une négation sans le “ne” dans ce type de phrase ;).



D’aillieur en recherche sur académie française y’a que des ne/n’ - pas ;)





En langage courant ça l’est <img data-src=" />


votre avatar







misterB a écrit :



En langage courant ça l’est <img data-src=" />





Comme beaucoup de chose, autant à l’oral je dirais d’accord, autant à l’écrit non ;)


votre avatar







nucl3arsnake a écrit :



Comme beaucoup de chose, autant à l’oral je dirais d’accord, autant à l’écrit non ;)





En tout cas ça pique moins que de mettre un verbe à la place d’une conjonction <img data-src=" />


votre avatar







caesar a écrit :



^^ faut cliquez sur le lien <img data-src=" />https://xkcd.com/936/





nan mais j’ai vu et je connais ce lien, mais c’est pas parce que les caractères spéciaux ne sont pas utilisés que les users vont écrire des trucs plus longs… Si au mieux de p@ssw0rd! on a password, on perd clairement en sécurité…


votre avatar







hadoken a écrit :



nan mais j’ai vu et je connais ce lien, mais c’est pas parce que les caractères spéciaux ne sont pas utilisés que les users vont écrire des trucs plus longs… Si au mieux de p@ssw0rd! on a password, on perd clairement en sécurité…







‘j’ai pas de mot de passe à la con’ et paf on est pas prêt de te le casser celui la


votre avatar

Mouais, même si SHA512 c’est costaud et que les mot de passe sont salé, le gain financier que peut représenté l’accès à toutes les données de tous les clients OVH Europe se chiffre certainement en millions d’euro.



Et si les mecs s’attaquent a si gros (et réussissent) c’est peut être qu’ils ont les moyens de se construire des raimbow tables qui correspondent au salage OVH (Si il utilise un seul grain de sel et pas un grain différent par mot de passe) en pas trop longtemps…

votre avatar







Virtual_Spirit a écrit :



Mouais, même si SHA512 c’est costaud et que les mot de passe sont salé, le gain financier que peut représenté l’accès à toutes les données de tous les clients OVH Europe se chiffre certainement en millions d’euro.







Je serai curieux de savoir comment ils peuvent s’y prendre pour générer des millions d’euros.



Des idées ?


votre avatar

Sais pas, liste d’email valide pour envoyer du spam par exemple? arnaques, phising, virus etc….

votre avatar







hadoken a écrit :



nan mais j’ai vu et je connais ce lien, mais c’est pas parce que les caractères spéciaux ne sont pas utilisés que les users vont écrire des trucs plus longs… Si au mieux de p@ssw0rd! on a password, on perd clairement en sécurité…







En gros au lieu de casser ton password en 5s, il va le casser en 30s.



On gagne clairement en sécurité <img data-src=" />


votre avatar







typhoon006 a écrit :



En gros le hacker s’est servi du compte mail de l’admin :



“Salut Maurice,

Dans le cadre d’un projet d’évolution du VPN, j’aurais besoin de tester ton compte pour faire un test de charge, tu peux m’envoyer tes infos de connexion stp”



et voilà comment on obtient un couple login/mot de passe







j’ai compris la mêm chose. si c’est ça, l’admin est un gros boloss <img data-src=" />

étant chez OVH pour l’ADSL ça me fait chier quand même.


votre avatar







nucl3arsnake a écrit :



jamais vu/entendu un prof validé valider une négation sans le “ne” dans ce type de phrase ;).



D’aillieur D’ailleurs en recherche sur académie française y’a il n’y a que des ne/n’ - pas ;)





Mode casse-couilles <img data-src=" />


votre avatar







Zimt a écrit :



C’est un bon patron <img data-src=" />





Ben Octave quoi =)


votre avatar



En un mot, nous n’avons pas été assez parano et on passe désormais en mode parano supérieur.





<img data-src=" />

votre avatar







kwaio a écrit :



Ben Octave quoi =)







C’est sur <img data-src=" />

ovh.com OVH


votre avatar







SebGF a écrit :



Hop, idem, vive le générateur de KeePassX aussi <img data-src=" />







Par contre, je mets des trucs que je peux me souvenir… parce que j’ai pas KeePassX sous la main, je suis dans la merde.


votre avatar

Je vient de recevoir l’émail cette nuit, un trou dans la Connexion au manager et en plus les donnée de la personne dans la nature je trouve ça quand même pas mal de la part d’ovh, je pense qu’il faut qu’il revoie l’acces au manager avec une identification plus dure.

votre avatar







NiCr a écrit :



Je serai curieux de savoir comment ils peuvent s’y prendre pour générer des millions d’euros.



Des idées ?









NiCr a écrit :



Je serai curieux de savoir comment ils peuvent s’y prendre pour générer des millions d’euros.



Des idées ?







Sans être exhaustif :



-&gt; Récupération d’accès aux serveurs / BDD et revente des emails / adresse / infos



-&gt; Récupération d’accès aux serveurs et exploitation des ressources pour du calcul distribué (Pour craquer des hash SHA-512 par exemple <img data-src=" /> )



-&gt; Récupération d’accès aux serveurs et exploitations des ressources pour faire un réseau de botnet et le louer



-&gt; Récupération des accès SIP et appels vers numéro surtaxés (100 000Lignes OVH * 100€ = 1 Millions d’euros…)



-&gt; Reventes d’informations à des concurrents (Ils doit bien y’avoir au moins quelques dizaines de gros clients avec des informations très très sensibles qui pourraient être revendu)



-&gt; Chantage : Coucou, on vous à effacé votre site web, versez nous 10 000€ si vous voulez récupérer vos donnés.



-&gt; Exploitation des données piratés pour récupérer de l’argent par d’autre moyens (Par exemple accès aux serveurs d’un site marchand, modification du code du site pour avoir des grossse grosse réduction et revente des produits acheté à très bas prix ou alors récupération de données bancaire que certains sites stokes)



Et vu que toute la base à été piqué apparemment, c’est facile de cibler les clients “intéressant” pour se faire de l’argent.





Donc oui, je pense qu’une attaque comme ça peut bien rapporter quelques millions.



votre avatar

Après leur problème sur la fonction de reset de password qui générait des tokens plus ou moins prévisibles (ce qui a causé le piratage de plusieurs sites actifs autour du bitcoin) ils se font maintenant pirater leur BDD de clients…



J’ai jamais réussi à avoir confiance en OVH, et c’est encore moins le cas maintenant ^^

votre avatar







Bejarid a écrit :



La conclusion d’OVH est qu’ils n’avaient pas été assez parano, ce qui a permit l’attaque. cf compte rendu officiel :http://travaux.ovh.net/?do=details&id=8998



Moi je ne suis pas du même avis, au vu de leur compte rendu : ils avaient une grosse faille via des accès VPN bien trop puissants et mal contrôlé. Bref, ce qui est arrivé leur pendait au nez.



Maintenant qu’ils contrôlent la machine, faut rajouter le vol du portable d’un employé pour permettre l’accès VPN, ce qui rend l’attaque peu aisé (quand tu sais plus ou est ton portable ne serait-ce que pendant un court moment, t’appel ta boite et ton accès est verrouillé). Mais clairement, ils ont tendu le baton pour se faire battre et se sont fait battre, faut pas dire que c’est la faute de l’impossibilité de faire un système 100% sécurisé, c’est juste qu’ils n’avaient pas assez de contrôles sur les accès à leur infra.



Enfin, si leur transparance quand à l’incident est appréciable, il faut bien noter que l’on parle là d’un incident qui est arrivé il y a plusieurs jours. Et qu’ils n’en avaient rien dit, alors qu’ils auraient du immédiatement avertir leur clientèle…







Pour être plus précis, ce qui m’intéressait c’était le détail de la partie “ il s’avère qu’un hackeur a réussi à obtenir les accès sur un compte email d’un de nos administrateurs système” de leur compte rendu. Comment il a fait le hackeur en question? Un petit keylogger sur un ordi utilisé par un admin un peu boulet qui s’est connecté sur son webmail pro depuis un ordi pas secure? C’est en ça que je voyais plus un PEBKAC qu’autre chose, sans ça pas d’obtention des paramètres de connexion au VPN et pas de connexion au VPN et au reste. Ils auraient peut être dû éviter de donner la possibilité de se connecter sans secureid ou équivalent ceci dit.


votre avatar







Glyphe a écrit :



Heureusement, on a inventé les gestionnaires de mots de passe ! <img data-src=" />

Certains sont open-source et permettent de chiffrer le fichier où est stockée la BDD.





Certes, mais il faut se balader avec le fichier sur soi (ou alors le stocker en ligne mais si ton entreprise bloque les sites de stockage en ligne… taybaysay)

Et ensuite il faut pouvoir installer le logiciel de gestion sur l’ordi (ce qui n’est pas toujours possible si tu as des droits restreints).


votre avatar

Et la double authentification sur le mail d’un admin, et le vpn avec certificat plutôt qu’un simple password ça serait déjà des avancées pour la sécurité

votre avatar







Bejarid a écrit :



La conclusion d’OVH est qu’ils n’avaient pas été assez parano, ce qui a permit l’attaque. cf compte rendu officiel :http://travaux.ovh.net/?do=details&id=8998



Moi je ne suis pas du même avis, au vu de leur compte rendu : ils avaient une grosse faille via des accès VPN bien trop puissants et mal contrôlé. Bref, ce qui est arrivé leur pendait au nez.



Maintenant qu’ils contrôlent la machine, faut rajouter le vol du portable d’un employé pour permettre l’accès VPN, ce qui rend l’attaque peu aisé (quand tu sais plus ou est ton portable ne serait-ce que pendant un court moment, t’appel ta boite et ton accès est verrouillé). Mais clairement, ils ont tendu le baton pour se faire battre et se sont fait battre, faut pas dire que c’est la faute de l’impossibilité de faire un système 100% sécurisé, c’est juste qu’ils n’avaient pas assez de contrôles sur les accès à leur infra.

Il suffit de se rendre à une réunion qui dure 1h ou 2 et cela suffit largement pour que le voleur puisse exploiter le matériel.



Enfin, si leur transparance quand à l’incident est appréciable, il faut bien noter que l’on parle là d’un incident qui est arrivé il y a plusieurs jours. Et qu’ils n’en avaient rien dit, alors qu’ils auraient du immédiatement avertir leur clientèle…

D’abord réfléchir, ensuite prendre les mesures appropriées. Ce qu’ils ont fait visiblement. Sans compter que ne pas révéler de suite que l’attaque a été repérée peux amener certains avantages pour en remonter les origines.





Quel dommage que tu ne bosse pas chez eux.. tu aurais sûrement pu empêcher tout cela… lance toi dans l’audit!


votre avatar

Ca y’est, je viens de recevoir les mails d’OVH …

Ils ont pris le temps, comparé à PCI, je trouve …

votre avatar

Mail reçu à l’instant.

votre avatar



SAS OVH -ovh.com OVH2 rue Kellermann

BP 80157

59100 Roubaix









Bonjour,

Récemment, nous avons relevé un incident de securité sur notre réseau interne

au siège social d’Ovh.

Nous avons immédiatement sécurisé et enquêté sur l’incident. Nous avons

relevé que la base de données des clients Europe aurait pu être illégalement

copiée. Cette base comporte les données suivantes :

le nom, le prénom, le nic, l’adresse, la ville, le pays, le téléphone, le

fax et le mot de passe chiffré. Les informations sur les cartes bancaires ne

sont pas concernées puisqu’elles ne sont pas stockées par OVH.



Même si le chiffrement du mot de passe de votre identifiant est très fort,

nous vous conseillons de changer le mot de passe dans les plus brefs délais.



En savoir plus sur l’incident de securité:

http://travaux.ovh.net/?do=details&id=8998





Cordialement,



Support Client OVH

Support Technique : 08.99.49.87.65 (1,349 Euro/appel + 0,337 Euro/min)

Support Commercial : 08.20.69.87.65 (Numéro Indigo 0,118 Euro/min)

Fax : 03.20.20.09.58

Contact :ovh.com OVH/fr/contact

Du lundi au vendredi : 8h00 - 20h00

Le samedi : 9h00 - 17h00

votre avatar



En un mot, nous n’avons pas été assez parano et on passe désormais en mode parano supérieur



<img data-src=" />

votre avatar







chacalVSdundee a écrit :



Quel dommage que tu ne bosse pas chez eux.. tu aurais sûrement pu empêcher tout cela… lance toi dans l’audit!





Pas d’accord (pratique pour te répondre quand tu t’insérèe de façon brutale (<img data-src=" />) dans mon quote !).



En une ou deux heures, tu n’as pas le temps pour explorer un intranet que tu ne connais pas. Et d’après les explication d’OVH, le gars a eu besoin de faire encore un certain nombre de manip, après l’intrusion dans le VPN. Plus le temps de téléchargement de la base. Bref, c’est une ou deux journées qu’il faut, certainement pas quelques heures. Donc certe le verrouillage par machine ne garanti pas la sécurité, mais c’est un vrai frein, et quand ça arrive tu as aussi plus de chance de retrouver le coupable (empreinte sur les lieux du vol, témoignage ou caméra de surveillance vu que y en a partout maintenant…).



Et sinon, mon discours n’a jamais été de rabaisser la compétence en sécurité des gens chez d’OVH, elle est largement supérieur à la mienne, mais bien de contredire son PDG.



Le niveau de sécurisation qu’il avait mit était sans doute pratique et donc rentable, mais clairement insuffisant. Ce qu’il avait demandé à ses troupes ce n’est pas une sécurité de parano comme il le dit, mais une sécurité de PME ! Après, forcément, quand on demande une sécurité au rabais (pour pouvoir se connecter à son intranet depuis n’importe quelle appareil en déplacement), tôt ou tard, et quand bien même on a parmi les meilleurs experts en sécurité français, on tombe. Mais c’est la faute à la trop grande souplesse demandé par les décideurs, comme c’est régulièrement le cas (pas simple de dire non à son patron quand il insiste).


votre avatar

Je viens seulement de recevoir le mail, à l’instant. Il était temps <img data-src=" />

votre avatar



Juste pour info. La BDD a à priori été piratée il y a approximativement 2 semaines (et non pas hier ou avant-hier).



Source interne (il y a un peu moins de 2 semaines) :

“Fait chier, j’ai plus accès à mes mails de boulot depuis la maison”



Cela sous-entends que le problème était déjà à l’époque connu et que le “re-“sécurisation en interne a débutée il y a 2 semaines.

votre avatar

Aujourd’hui seulement, il y a quelques instants, soit 2 jours après la détection du hack par OVH (qui est donc survenu “plus tôt”), je reçois d’OVH :





Bonjour,

Récemment, nous avons relevé un incident de securité sur notre réseau interne

au siège social d’Ovh.

Nous avons immédiatement sécurisé et enquêté sur l’incident. Nous avons

relevé que la base de données des clients Europe aurait pu être illégalement

copiée. Cette base comporte les données suivantes :

le nom, le prénom, le nic, l’adresse, la ville, le pays, le téléphone, le

fax et le mot de passe chiffré. Les informations sur les cartes bancaires ne

sont pas concernées puisqu’elles ne sont pas stockées par OVH.



Même si le chiffrement du mot de passe de votre identifiant est très fort,

nous vous conseillons de changer le mot de passe dans les plus brefs délais.



En savoir plus sur l’incident de securité:

http://travaux.ovh.net/?do=details&id=8998





Pas vraiment rapide pour un problème aussi sérieux… OVH a peut-être besoin d’un bon fournisseur email. <img data-src=" /> (Bon, les fanboys peuvent flamer maintenant.)

OVH piraté, les clients européens invités à changer leur mot de passe

Fermer