Ce matin, plusieurs sites hébergés par la société roubaisienne ne répondent plus, notamment celui de l’Assemblée nationale et la page de l'entreprise dédiée au statut (travaux.ovh.net).
Octave Klaba est intervenu sur Twitter pour donner quelques précisions : « Suite à une erreur humaine durant la reconfiguration du network sur notre DC à VH (US-EST), nous avons un souci sur toute la backbone. Nous allons isoler le DC VH puis fixer la conf ».
On peut donc espérer un retour rapide. Cette panne tombe mal, puisque la société est en pleine entrée en bourse. Elle se remet d'ailleurs à peine de l’incendie de Strasbourg survenu en mars dernier, peu après l'annonce de sa volonté d'ouvrir son capital.
Comme attendu, le service est de retour, l'équipement impacté ayant été isolé. L'entreprise a publié un communiqué évoquant le contexte de la mise à jour ayant mené au problème.
Commentaires (71)
#1
Facebook Challenge…
#2
Ah bah je comprend mieux pourquoi mon serveur est HS…
#3
Annonce d’ouverture du capital : ça flambe.
Préparation d’entrée en bourse : ça plante.
Moi j’dis, y’a des signes qui ne trompent pas 😅
#4
Moi je n’ai plus de téléphone depuis ce matin, et pas moyen de se connecter à l’espace client non plus pour le signaler. J’ai l’impression qu’il n’y a pas que “quelques sites web” qui sont impactés.
#4.1
Je crois qu’il n’y a plus rien qui fonctionne. (j’ai lu qu’en IPV6 ça passait, mais je n’ai pas vérifié)
Au moins il y a des commentaires amusants sur twitter …
#5
😂😂😂 C’est fou qu’en 2021, “une erreur humaine” de configuration réseau aux US paralyse tout le réseau mondial d’OVH… J’ai du mal à comprendre…
#5.1
d’apres mes souvenirs et mon ressenti de cours de reseaux
“c’est de la merde c’est de la magie noire, c’est imbitable, c’est du bricolage je déteste”
#5.2
oui c’est vrai c’est fou ça n’est pas arrivé non plus à Facebook et Slack en 2021 :)
#6
Plus aucune téléphonie, mails, serveurs… etc.. depuis ce matin 9h30. C’est comme si OVH n’existait simplement plus…
EDIT : ça semble revenir petit à petit mais tjrs pas de téléphone
#7
De mon coté je ne suis plus hébergé chez OVH depuis l’incident du début d’année mais j’y ai laissé mes DNS et c’est mort …
#8
Le Facebook Challenge et les coïncidences avec l’entrée en bourse sont les sujets de discussions au boulot ce matin.
D’ailleurs j’ai une chose assez cocasse : mon hyperviseur est inaccessible, et les VM hébergées dessus le sont.
Mon monitoring m’informe que tout pète à nouveau, j’y retourne, courage à tout ceux qui comme moi vont devoir gérer les soucis
#9
Le jour de l’OPO franchement ça la fout mal…
#10
C’est pareil de mon côté, je crois que tout OVH est planté.
J’aimerais pas être du côté de “l’erreur humaine” en ce moment
#11
c’est reparti pour nous…
#12
up de nouveau
#13
Twitter en ce moment :
“J’espère que le premier jour chez OVH de l’ancien employé de Facebook se passe bien.”
#14
Au secours….
#15
OK comme tous les 6 mois … Les emails que je j’ai chez eux doivent être down 4-5 demi-journées (jours ouvrables) dans l’année.
#16
Achetez Français qu’ils disaient
#17
Le “cloud” n’a pas de frontière mais le nuage de Tchernobyl en avait une… ahah
#18
Les envois de mail sont toujours HS.
Je commence vraiment à me poser la question… faut-il rester chez OVH.
Comment une maintenance aux USA peut elle impacter à ce point l’intégralité de la backbone.
Je suis lassé d’envoyer des email à mes clients pour leur présenter des excuses….
#19
c’est quoi cette histoire de Facebook Challenge ? Dsl je n’ai pas suivi
#19.1
CF la panne mondiale de FB pendant 7 heures
#20
Lors de la demande pour la suppresion de mon compte, on a exigé que j’envoi des copies de mes données personnelles (carte d’identité etc) haha, ouais mais nan, je refuse et je préfère laisser mourrir mon compte dans un coin, toutes informations ont été remplacés par des fausses, je n’irai plus chez OVH.
#20.1
Pareil, ils ont décidé d’imposer la double authentification par mail avec un mail qui n’existait plus pour les modifications techniques. J’ai eu beau leur expliquer (avec le compte administratif) impossible de leur faire comprendre…
Ensuite demande de copie de CNE etc… Résiliation dans la foulée.
Franchement la probabilité de se faire usurper 2 comptes OVH simultanément plus un e-mail perso WTF
#21
En même temps c’est louable que la demande de suppression de compte soit un minimum sécurisé au cas où tes identifiants auraient fuité dans la nature
#22
#22.1
Ca évite tout simplement les usurpations d’identités, qui pourraient conduire à une suppression d’informations. J’ai déjà eu le cas chez plusieurs éditeurs.
En revanche, certains le font par “visio” pour vérifier que la carte d’identité corresponde au détenteur, ainsi pas de pièces “enregistrées”.
#22.2
Tu ne vois pas en quoi une vérification d’identité est nécessaire pour une opération aussi critique ? C’est vrai qu’ils pourraient se contenter d’un appel téléphonique sans authentification, comme ça n’importe qui peut faire fermer les services de n’importe qui. Attaque DoS facile
#23
#23.1
Oui, ils suivent les préco de la CNIL, donc rien de méchant. Ta façon de faire s’appelle “Anonymiser le compte” ce qui est aussi accepté par la CNIL en cas de demande d’effacement RGPD. Si tu le fait toi même, seule ton adresse e-mail ne pourra pas être anonymisée, et donc possiblement dispo en cas de fuite de données.
#24
Il faut ajouter (même si c’est moins grave) qu’ils se sont loupés dans leur envoi d’e-mails. Un jour ils annoncent que le compte est inactif et qu’il va être clôturé, le lendemain, ils disent que c’était une erreur et qu’il ne faut pas en tenir compte.
Vu d’ici, ça fait vraiment amateur.
#25
Le communiqué suite à la panne a été ajouté
#26
Et moi qui croyait que OVH US était une entité isolée afin d’éviter que les lois US s’applique au reste d’OVH !
#26.1
L’entité juridique est différente, pour border l’accès du Patriot Act aux seuls clients de OVH US. Ca ne veut pas dire que les infra ne sont pas sous-traitées à OVH Cloud.
#27
Ils ont essayé de brancher shadow…
#28
C’est toujours cassé pour moi.
Le DynHost (nas Synology <> OVH) ne fonctionnait pas tout à l’heure lors de l’incident, mais maintenant c’est ok, l’IP est bien à jour dans le tableau de bord, mais mon site et mes sous domaines sont toujours inaccessible.
d’autres personnes ont ce problème ?
#28.1
C’est bon ça refonctionne pour moi.
En plus ce matin j’ai eu l’installation de linky, donc reboot de la box et changement d’ip, c’était pas le bon moment
#29
Heureusement que twitter fonctionne, permettant de tenir les clients au parfum!
Sont novateurs chez OVH: Après le cloud qui finit tout feux tous flammes dans les nuages (les vrais), c’est tout par terre, à pôle emploi les DDOSeurs!
#30
Pareil.
J’aimerai bien qu’ils explique comment une telle erreur sur une équipement réseau au USA peut foutre par terre leur backbone.
Ça commence à faire beaucoup là…
#30.1
si j’ai bien pigé, c’est leur système “anti-ddos” qu’ils ont agrandit, donc s’il se déclenche pour tous les appels …
et si on installe un système anti-ddos faut bien à un moment que tous les appels transitent par lui, sinon il va jamais servir à rien
mais effectivement ça aurait pu/dût être plus cloisonné je suppose
ça me rappelle quand un test avait été fait sur un serveur interne, une vm qui devait servir de reverse proxy je crois, ben plus personne dans la boite pouvait se connecter au net, il a fallu éteindre la VM pour que tout refonctionne, on n’a pas bien compris ce qu’il s’était passé :/
edit : typo
#31
Remarque c’est parfait pour contre les attaques DDOS
#32
Donc les US peuvent nous débrancher.
#32.1
Ça.
Franchement c’est ça qui fait le plus peur là dedans. Le fait qu’une boîte française qui grandit aussi aux US ait son infra qui peut influencer voir casser l’infra de base en Europe ou en France, à tel point que cela casse des services qu’on pense hébergés en France.
C’est gravissime quand même…
#33
Bah dans l’année on eu droit à des pannes Azure, Fastly, Facebook, et bien d’autres… Un panne du genre suite erreur humaine peut arriver à beaucoup je pense. C’est moins grave qu’un incendie
#34
Yep, et pour le coup je ne me souviens plus si j’ai remplacé le mail de départ par une autre que je n’utilise plus ou presque, ou si j’ai utilisé Anondaddy ou Firefox Relay, dans les deux cas, ellles ne contiennent pas d’infos sensibles et l’une bloque automatiquement le SPAM et les envois qui ne respectent pas la garantie de la réception par TLS, je ne m’en inquiète pas trop, je fais aussi quelque fois des tests pour voir si j’ai été victime d’une fuite de donnée, toujours RAS.
#35
Oui c’était il y a 4 ans, je souhaitais juste monter de version PHP via le compte technique et le mail associé était requis alors qu’il n’avait jamais servi et était résilié depuis 5 ans.
Si au moins ils avaient essayé d’envoyer un mail avant de l’utiliser comme 2FA ils se seraient aperçu qu’il n’existait pas.
Je pouvais me connecter au compte technique mais rien changer, je pouvais me connecter au compte administratif et modifierle contrat (l’adresse mail associée était, elle, toujours valide) mais impossible de changer l’adresse mail technique sans copie de CNI, attestation de domicile et autre.
Du coup j’ai simplement résilié avec le compte administratif.
#36
#37
Il était associé au compte technique à sa création mais j’avais oublié jusqu’à son existence. J’avais déjà fait des montées de version PHP ou activé le SSL sans l’utiliser.
Oui une fois identifié comme compte 2FA par OVH impossible de le modifier sans transmettre une copie de ma CNI etc… OVH n’ayant rien voulu savoir, j’ai résilié.
#38
#39
Une mauvaise configuration d’un BGP peut péter quasi tout l’internet:
https://www.cloudflare.com/learning/security/glossary/bgp-hijacking/
#40
Et tu es parti où ? Chez un prestataire qui ne demande pas de prouver ton identité quand tu veux changer le mode d’authentification sans accéder à l’ancien ?
Je l’ai faite aussi cette procédure de changement de mail chez OVH, alors que mon ancienne adresse mail ne marchait plus. J’ai trouvé ça rassurant qu’on me demande mon identité, et qu’il ne suffise pas de dire “coucou, faites-moi confiance, c’est moi, changez mon adresse utilisée pour la 2FA, je vous promets que c’est moi”.
Récemment, j’ai dû réinitialiser mon compte CAF. On t’envoie un courrier papier, et ça prend 3 jours. Là, c’est lourdingue (mais j’ai pas résilié pour autant
)
#41
Quelle identité ? Celle qu’on ne t’a pas demandé quand tu as ouvert ton compte ?
#42
À l’ouverture de ton compte, on te demande ton identité, sans la prouver en effet, et ton mail. Si tu perds l’accès à ton mail, comment prouves-tu que tu es légitime pour changer le mail ?
La moindre des choses est quand même de vérifier que ton identité est conforme à ce que tu as annoncé au départ, même si on ne t’a pas demander de prouver ton identité au départ (mais à la commande, tu n’avais aucun intérêt à fournir une fausse identité).
C’est comme quand tu commandes chez Amazon (ou un autre en ligne, hein). Jamais tu n’as fourni ta carte d’identité au moment de la commande où de l’ouverture de ton compte chez Amazon. Pourtant, quand tu vas chercher ton colis chez ton relais-colis, on te demande bien de prouver ton identité. Tu peux essayer pour rigoler de parler de RGPD au buraliste qui a ton colis, ou tu peux dire que si c’est comme ça, tu résilies ton compte et jamais plus tu ne commanderas chez Amazon (et ce serait une bonne chose). Mais si on reste sérieux 2 minutes, ça semble quand même logique
de prouver que tu es bien celui qui est désigné par celui qui a passé commande, peu importe que tu aies prouvé ou non ton identité à la commande.
#43
Déjà expliqué :
A ce que je sache le commerçant ne te demande pas de lui donner photocopie de tes papiers d’identité.
#44
Il y a eut un tweet (effacé) de Octave qui dit qu’un copier/coller au moment d’appliquer la config sur un router a été divisé en 2 lignes, faussant la config.
#45
Tu n’imagines pas le nombre d’hôteliers qui font une photocopie de ta carte d’identité quand tu arrives… (pas trop en France, mais aux US, Japon, etc., c’est systématique).
#46
Pour rebondir sur cette histoire de changement de procédure chez OVH, j’ai voulu (avant-hier) résilier un nom de domaine. Là, un formulaire me demande pourquoi, comment, à quelle heure, le sens du vent, etc… Et impossible de valider sans choisir quelque chose.
Euh, de quoi je me mêle ? Je peux gérer mes affaires comme je veux ? Qu’ils soient curieux, pourquoi pas, que ce soit obligatoire de répondre, no way.
Conclusion, j’ai passé le renouvellement en “manuel” et je le laisserait crever à expiration.
Mais j’ai trouvé ça relou.
#47
Le mail a pu être valide au moment de la mise en place du 2FA, et pas après. Je ne sais pas chez OVH (je n’ai toujours pas le 2FA xD), mais je n’ai pas vu un seul service ne vérifiant pas l’adresse e-mail avant. Et c’est logique, car sinon, l’accès serait juste impossible !
L’admin technique n’est pas forcément le titulaire, donc non.
Le gestionnaire adminsitratif n’est pas forcément le titulaire, donc non.
Idem au dessus.
Avec ce que tu proposes, un prestataire pourrait simplement prendre possession du compte alors qu’il n’a que des délégations.
#47.1
Selon toi, une personne qui connait 3 secrets sur 4 et qui est “capable” d’inhiber le 4e est potentiellement en train d’usurper une identité ?
En tout cas je peux te dire que la personne qui connaissait 2 secrets (login administratif et mail administratif) a pu résilier son contrat avec OVH.
#47.2
Relis mon commentaire. Je n’ai pas parlé d’usurpation d’identité. J’ai parlé de prestataire qui prenait le contrôle total alors qu’il est censé n’avoir que des délégations.
Maintenant, le double facteur, ce n’est pas connaitre x secret. C’est avoir au minimum 2 des aspects suivant :
ne connaitre que des secrets, oui, c’est une faille et est potentiellement une usurpation d’identité, quand bien même il y en ait 10. Si tu savais ce que des gens malveillants arrivent à faire uniquement avec de l’ingénierie sociale…
#47.3
J’ai bien lu ton message et si j’ai utilisé le terme de secret, c’est par simplification. Il y a bien un compte mail dans les 3 “moyens” (relis les miens ;) ).
Je ne vois pas ce qu’un prestataire technique ferait avec un profil administratif (ou un prestataire administratif avec un profil technique.)
Et si le prestataire à accès à tout les profils c’est la volonté du client. Donc il a déjà potentiellement le contrôle total.
Désolé dans le cas de figure énoncé, selon moi, la demande d’une copie de pièce d’identité est superfétatoire et injustifiée (d’autant qu’OVH ne dispose d’aucun document de référence permettant de valider ou non la véracité de la pièce d’identité envoyée).
#48
HS mais on me l’a jamais demandé, ou probablement une fois ou deux, je m’en souviens plus, bon j’ai pas récupéré beaucoup de colis en point relais d’un autre côté.
#49
Merci OVHCloud pour la pause café de 9h30.
#50
Oui c’est très aléatoire, en fonction de l’employé qui te donne le colis…
#51
Pour gérer et payer. Il peut donc avoir les deux ;)
En demandant une pièce d’identité, OVH respecte le double facteur, en demandant quelque chose que tu as. Après, c’est pas juste n’importe quelle pièce d’identité, il faut que la pièce corresponde au titulaire du compte. Sinon, c’est sur que cela ne marchera pas.
Tu as le droit de trouver cela superfétatoire et injustifié, c’est pourtant au coeur même du RGPD. Alors de mémoire, pas la fourniture d’une pièce d’identité, mais de réaliser des traitements qui ne soient pas en mesure de porter atteinte aux droits et aux libertés d’autrui.
S’il suffisait de prendre un numéro de téléphone, de dire je suis untel supprimez mes informations, cela ne le ferait pas trop. Sinon, j’appelle David L., je lui dit
Ce que fait OVH interdit un prestataire de supprimer ton compte. On peut imaginer de la malveillance (conflit avec le client, un salarié zélé, …), une erreur (il se “trompe” de client), ou tout simplement le presta qui se fait pirater (ben oui, ça arrive aussi). Tu trouves peut être cela superflu, cela n’empêche pas que c’est pour ta sécurité (enfin celle de ton compte).
#52
Comme il n’a aucun modèle de référence, je peux lui envoyer une pièce d’identité photoshopée sans pb…
Si le mail associé à mon compte est supprimé (deliverey error) il va bien falloir trouver une solution (d’autant que Nxi n’a pas de 2FA). Pourquoi pas une transaction à 0,01€ déductible du prochain réabonnement.
Non puisque ce qu’a fait OVH c’est interdire à “mon prestataire” de modifier la version de PHP, la suppression de mon compte était possible puisque je l’ai faite sans CNI.
Pour info mon compte était créé en 2012 et il n’y avait pas de 2FA et supprimé en 2018. Sauf que je sais que le mail était supprimé avant l’activation du 2FA vu que j’avais déjà réalisé des montées de version PHP alors que le mail était supprimé.
#53
Tu peux. Mais dans ce cas, le problème sera autre. Ce n’est pas un défaut du presta, mais un faux et usage de faux de ta part ;)
Soit ils ont encore des info te concernant (numéro de carte bancaire, nom du titulaire du compte, ou que sais-je encore) et si tu donnes des infos suffisantes (comme une CNI) oui.
Sinon, non, rien à faire. Ton compte sera définitivement à l’abandon pour cause de négligence.
Attention, tu parles de presta d’un côté, du titulaire du compte de l’autre. Du coup, j’ai simplement l’impression que pour le compte technique le 2FA était activé, et pas pour le compte administratif.
Je suis chez OVH, et je n’ai toujours pas le 2FA d’activé (même s’ils me font des piqures de rappels régulièrement). J’ai du mal à croire qu’ils aient activé de leur côté, sans action de ta part, le 2FA. Attention, je ne dis pas que ce n’est pas possible, je dis que cela sera étonnant. Mais cela reste possible malheureusement
(j’ai banni le mot impossible quand je vois les bêtises que certains font (et là, je ne parle pas d’OVH mais en général))
#54
Le 2FA était activé pour les 2 comptes mais l’adresse mail du compte administratif était toujours active celle du compte technique était supprimée (c’est ce que je dis depuis le début).
Je peux t’assurer que je n’ai rien fait.
#55
Je te crois. Mais ce n’est absolument pas normal ! Pour le coup, c’est plus cette décision que je critiquerais que le fait de demander une pièce d’identité…
#56
C’est au tour de Twitter d’être hors service ?