Après Apple et Ubuntu, c'est au tour d'OVH de faire savoir que la sécurité de ses serveurs a été compromise et que les données clients européens sont dans la nature. Une vaste campagne de mail partira ce jour pour demander à ce que les mots de passe soient réinitialisés.
Encore un. En effet, depuis ce matin les annonces de données volées s'enchainent les unes après les autres. Après Ubuntu et Apple, c'est au tour d'OVH de signaler que les données de ses clients européens sont certainement dans la nature.
En effet, la société roubaisienne indique qu'une personne a réussi à pénétrer au sein même de son réseau.
Comment ? « Après les investigations en interne, il s'avère qu'un hackeur a réussi à obtenir les accès sur un compte
email d'un de nos administrateurs système. Grâce à cet accès email, il a obtenu l'accès sur le VPN interne d'un autre employé. Puis grâce à cet accès VPN, il a fini par compromettre les accès de l'un des administrateurs système qui s'occupe du backoffice interne.» Tant est si bien que ce pirate a pu faire main basse sur l'ensemble des données incluant nom, prénom, adresse mail, adresse physique, numéro de téléphone, et mot de passe. Ce dernier est chiffré et utilise un algorithme de type « SHA512 », ce qui devrait tout de même limiter le cassage par « force brute ».
Comme le dit très clairement la société dans son message, « Il faut beaucoup de moyens techniques pour retrouver le mot de passe en clair. Mais c'est possible. » Un effort de transparence qui change de ce que l'on constate habituellement, les marques pensant avant tout à minimiser le problème.
Quoi qu'il en soit, OVH a d'ores et déjà pris plusieurs mesures d'hygiène informatique. Elle devrait faire partir ce jour une vaste campagne de mail auprès de ses utilisateurs européens afin qu'ils modifient leur mot de passe. La société ajoute qu'aucune donnée bancaire n'est conservée de son côté, ce qui devrait au final limiter les dégâts.
Enfin, OVH indique avoir déposé une plainte au pénal et ne donnera pas plus amples détails avant que la justice n'apporte ses conclusions finales.
Commentaires (118)
#1
Pourquoi cette actu’ est pas dans la rubrique piratage ?
Ah ben du coup j’ai zappé l’actu’ Apple aussi.
#2
Mouais, même si personne n’est entièrement à l’abri, çà fait quand même pas sérieux quand la sécurité est au premier plan dans le coeur de métier de la société…
#3
Je suis déçu de leur part ….
" />
#4
Avec Pirates des Caraïbes diffusé hier, cette vague de piraterie ne m’étonne guère
#5
#6
Après les investigations en interne, il s’avère qu’un hackeur a réussi à obtenir les accès sur un compte
email d’un de nos administrateurs système. Grâce à cet accès email, il a obtenu l’accès sur le VPN interne d’un autre employé. Puis grâce à cet accès VPN, il a fini par compromettre les accès de l’un des administrateurs système qui s’occupe du backoffice interne.
En gros le mec a ouvert un mail inconnu .. oO ?
#7
Une attaque directe sur un employé aura toujours une chance d’aboutir.
Et malgré tout, je serais curieux de savoir combien de sociétés stockent les mots de passe avec un si fort chiffrement. Bon à côté, c’est la grosse blague, parce qu’on peut pas mettre de caractères spéciaux dans les mots de passe chez OVH, du coup ça limite un peu l’efficacité des pass.
#8
#9
#10
#11
J’ai gagné le droit de changer de mot de passe ce soir
" />
« Il faut beaucoup de moyens techniques pour retrouver le mot de passe en clair. Mais c’est possible. » Un effort de transparence qui change de ce que l’on constate habituellement, les marques pensant avant tout à minimiser le problème.
Effort de transparence tout relatif puisque OVH, c’est avant tout des clients pros et des clients technophiles.
Ils n’ont donc pas intérêts à mentir sous peine de dégrader leur image de marque, déjà écornée par l’affaire HubiC.
#12
Sérieux, y a pas des universités françaises qui forment des spécialistes en sécurité info ?
" />
Après, ce sont souvent les DG débiles qui refusent de filer le fric pour mettre en place un vrai système sécurisé (et parfois contraignant pour l’employé).
#13
#14
On va tous passer au cryptage généralisé je vous le dis …
#15
#16
#17
De quel(s) mot(s) de passe s’agit il ?
Connexion au manager ?
#18
#19
#20
#21
C’est la journée dites donc
" />
#22
Et voilà, des admins qui envoient des login/pass en clair par mail…
#23
#24
#25
Ce qui est faisable, c’est de balancer un mail avec un mot de passe en clair, mais avec reset à la première connexion.
Reste le problème du type jamais connecté.
#26
Le soucis avec un hébérgeur c’est que là pour le coup ça donne beaucoup d’infos personnelles … et potentiellement très fiables. Surtout avec les bots qui envoient tous les trimestres un rappel pour garder à jour les données.
#27
#28
#29
#30
#31
perso je n’ai jamais réussi à retenir mon identifiant ou mon mot de passe ovh donc bonne chance au pirate.
#32
#33
#34
V’est la loi des séries en ce moment ! Quand ce n’est pas les accidents d’avion ou les chiens qui mordent des petites filles, ce sont des grosses boites qui se font “intruser”…
" />
Total HS mais je viens de recevoir un mail du site de vente en ligne Oxybul : mot de passe en clair, et diffusé dans le mail par une personne du service client
#35
#36
#37
Sony c’est fait une mauvaise réputation avec ça, Apple, Ubuntu est OHV s’en sorte bien
" />
#38
Merci à OVH pour leur réactivité.
Et à ceux qui critiquent, je tiens à rappeler qu’aucun système n’est infaillible, et c’est d’autant plus vrai quand le facteur humain intervient. En l’occurence, je trouve qu’OVH à été très efficace et avait un excellent niveau de sécurité des mots de passe, ce qui est assez remarquable.
#39
#40
#41
#42
A ceux qui tappent sur OVH sans même savoir exactement comment c’est arrivé, je les invite à découvrir l’effet Dunning Kruger s’ils ne connaissent pas :http://fr.wikipedia.org/wiki/Effet_Dunning-Kruger
" />
Pour moi c’est probablement un problème PEBKAC, on peut faire le système le plus sécurisé du monde, si il y a des interactions avec des humains c’est quasi impossible de faire un truc 100% secure et moron-proof. Le social engineering a toujours été un des moyens les plus efficaces de compromettre un système… je serais curieux d’avoir des détails sur le hack dans leur cas, genre est-ce qu’un admin a laissé un mot de passe sur un post it…
#43
#44
#45
#46
#47
#48
#49
#50
#51
A cette heure-ci, je constate qu’il n’y a aucune alerte sur le site web d’OVH.com ni OVHTELECOM (OVH.fr) ….
En temps que client je viens de leur envoyer une demande d’explication ……..
Ils auraient pu au moins mettre une alerte sur leur site web avant de dire par news interposée qu’ils vont un jour envoyer un mail.
Ca fait pas très pro pour le coup !
Même s’ils n’ont pas qualifié leur incident, vu l’impact, ils peuvent dire qu’ils sont en incident et qu’ils s’engagent à mettre à jour toutes les X heures l’avancement de l’analyse !
#52
J’ai changé le mot de passe pour un encore plus long… (Vive KeyPassX)
" />
J’avais une mots de passe totalement inutilisé ailleurs donc je ne panique pas.
#53
y’a un mec qui a réussi à prouver P=NP ou quoi ?
enfin en tout cas je ferais comme lui, vachement plus rentable de revendre des mots de passe que les 1M de dollars promis
#54
O la VH !
" />
#55
sinon petit HS.
C’est bien de bosser pou OVH ?
Niveau ambiance et paye … .
Merci
#56
#57
J’ai bien aimé l’actualité sur le site de OHV, ils peuvent y retourner
http://www.ovh.com/fr/a1133.ovhcom_a_la_nuit_du_hack_objectif_recrutement
#58
#59
Les données des clients ADSL sont aussi dans la nature ?
#60
le SHA512 n’est pas un chiffrement non ? c’est “juste” un Hachage de haut niveau nan ?
un chiffrement pour moi ça serait AES 256 ou Serpent ou Blowfish/twofish etc
#61
enfin je suppose que “ si “.
quelque part un password en SHA512 donne un truc vraiment complexe à decripter.
#62
http://travaux.ovh.net/?do=details&id=8998
Veuillez accepter nos sincères excuses pour cet
incident. Merci pour votre compréhension.
Nos téléphones et données personnelles sont dans la nature.
Pour envisager un dédommagement, on prend des oignons pour pleurer, mais pas trop gros dans le cas où ils devront rentrer quelque part ?
#63
#64
#65
Personnellement je connais quelqu’un qui a vu les mots de passes de son compte OVH changés hier ! (manager + ftp) ainsi que ses comptes GMAIL attaqués…
Il n’a compris que ce qu’il lui arrivait aujourd’hui en voyant ça… il pensait à une attaque ciblée!
#66
#67
Mot de passe changé ^^
#68
Le soucis principal semble provenir d’un acces remote (VPN) peu ou mal protege. Surement une authentification basique avec login / mot de passe. Malheureusement beaucoup trop d’entreprises ne mesurent pas assez le risque induit par de tels accès depuis l’exterieur.
#69
Les données ont été distribuées sur les forums hacker, j’ai plusieurs comptes qui recoivent des dizaines de demandes de modifications de mot de passe et d’email.
" />
" />
" />
J’ai tout juste eu le temps de modifier tous les mdp FTP et nic ovh.
Les emails associés sont attaqués systématiquement (pour ceux qui ont mis le même mot de passe, j’en connais, ça veut dire par exemple sur gmail, email de secours modifié, numéro de tél associé modifié etc… du coup galère pour récupérer son compte, google ne vous croyant pas).
Vos numéros de téléphone sont certainement sur des listes de spam sms désormais…
Bref merci OVH
#70
#71
non car il avait utilisé un mot de passe pas très secure, un bete bruteforce a du casser ça en 10min
mais effectivement, même mdp partout, du coup depuis OVH (il a reçu une notification de connexion puis de changement de mdp à la suite) ils ont eu l’email et ils ont tenté le même mdp, il a donc perdu tout accès 15min plus tard.
Je l’ai engueulé et il comprend pq il faut des mdp différents !
#72
#73
Grâce à cet accès email, il a obtenu l’accès sur le VPN interne d’un autre employé. Puis grâce à cet accès VPN
En gros le hacker s’est servi du compte mail de l’admin :
“Salut Maurice,
Dans le cadre d’un projet d’évolution du VPN, j’aurais besoin de tester ton compte pour faire un test de charge, tu peux m’envoyer tes infos de connexion stp”
et voilà comment on obtient un couple login/mot de passe
#74
#75
Comme le dit très clairement la société dans son message, « Il faut beaucoup de moyens techniques pour retrouver le mot de passe en clair. Mais c’est possible. » Un effort de transparence qui change de ce que l’on constate habituellement, les marques pensant avant tout à minimiser le problème.
Marrant, parc’que la formulation utilisée dans le mail minimise, justement :
Même si le chiffrement du mot de passe de votre identifiant est très fort,
nous vous conseillons de changer le mot de passe dans les plus brefs délais.
Ça fait moins peur dit comme ça je trouve
#76
Pour l’instant pas moyen de changer de mot de passe, aucun email pour confirmer n’arrive d’OVH, enfin c’est pas la première fois qu’il faut 24 heures pour que leurs mails partent, problème récurrent…
#77
#78
#79
#80
Pas encore reçu le mail, mais MDP changé hier soir.
#81
#82
Personne pour faire remarquer que le SHA a été fait par la NSA ?
" />
#83
#84
#85
#86
#87
#88
#89
#90
#91
#92
#93
#94
Mouais, même si SHA512 c’est costaud et que les mot de passe sont salé, le gain financier que peut représenté l’accès à toutes les données de tous les clients OVH Europe se chiffre certainement en millions d’euro.
Et si les mecs s’attaquent a si gros (et réussissent) c’est peut être qu’ils ont les moyens de se construire des raimbow tables qui correspondent au salage OVH (Si il utilise un seul grain de sel et pas un grain différent par mot de passe) en pas trop longtemps…
#95
#96
Sais pas, liste d’email valide pour envoyer du spam par exemple? arnaques, phising, virus etc….
#97
#98
#99
#100
#101
En un mot, nous n’avons pas été assez parano et on passe désormais en mode parano supérieur.
#102
#103
#104
Je vient de recevoir l’émail cette nuit, un trou dans la Connexion au manager et en plus les donnée de la personne dans la nature je trouve ça quand même pas mal de la part d’ovh, je pense qu’il faut qu’il revoie l’acces au manager avec une identification plus dure.
#105
#106
Après leur problème sur la fonction de reset de password qui générait des tokens plus ou moins prévisibles (ce qui a causé le piratage de plusieurs sites actifs autour du bitcoin) ils se font maintenant pirater leur BDD de clients…
J’ai jamais réussi à avoir confiance en OVH, et c’est encore moins le cas maintenant ^^
#107
#108
#109
Et la double authentification sur le mail d’un admin, et le vpn avec certificat plutôt qu’un simple password ça serait déjà des avancées pour la sécurité
#110
#111
Ca y’est, je viens de recevoir les mails d’OVH …
Ils ont pris le temps, comparé à PCI, je trouve …
#112
Mail reçu à l’instant.
#113
SAS OVH -http://www.ovh.com
2 rue Kellermann
BP 80157
59100 Roubaix
Bonjour,
Récemment, nous avons relevé un incident de securité sur notre réseau interne
au siège social d’Ovh.
Nous avons immédiatement sécurisé et enquêté sur l’incident. Nous avons
relevé que la base de données des clients Europe aurait pu être illégalement
copiée. Cette base comporte les données suivantes :
le nom, le prénom, le nic, l’adresse, la ville, le pays, le téléphone, le
fax et le mot de passe chiffré. Les informations sur les cartes bancaires ne
sont pas concernées puisqu’elles ne sont pas stockées par OVH.
Même si le chiffrement du mot de passe de votre identifiant est très fort,
nous vous conseillons de changer le mot de passe dans les plus brefs délais.
En savoir plus sur l’incident de securité:
http://travaux.ovh.net/?do=details&id=8998
Cordialement,
Support Client OVH
Support Technique : 08.99.49.87.65 (1,349 Euro/appel + 0,337 Euro/min)
Support Commercial : 08.20.69.87.65 (Numéro Indigo 0,118 Euro/min)
Fax : 03.20.20.09.58
Contact :http://www.ovh.com/fr/contact
Du lundi au vendredi : 8h00 - 20h00
Le samedi : 9h00 - 17h00
#114
En un mot, nous n’avons pas été assez parano et on passe désormais en mode parano supérieur
#115
#116
Je viens seulement de recevoir le mail, à l’instant. Il était temps
" />
#117
Juste pour info. La BDD a à priori été piratée il y a approximativement 2 semaines (et non pas hier ou avant-hier).
Source interne (il y a un peu moins de 2 semaines) :
“Fait chier, j’ai plus accès à mes mails de boulot depuis la maison”
Cela sous-entends que le problème était déjà à l’époque connu et que le “re-“sécurisation en interne a débutée il y a 2 semaines.
#118
Aujourd’hui seulement, il y a quelques instants, soit 2 jours après la détection du hack par OVH (qui est donc survenu “plus tôt”), je reçois d’OVH :
" /> (Bon, les fanboys peuvent flamer maintenant.)
Bonjour,
Récemment, nous avons relevé un incident de securité sur notre réseau interne
au siège social d’Ovh.
Nous avons immédiatement sécurisé et enquêté sur l’incident. Nous avons
relevé que la base de données des clients Europe aurait pu être illégalement
copiée. Cette base comporte les données suivantes :
le nom, le prénom, le nic, l’adresse, la ville, le pays, le téléphone, le
fax et le mot de passe chiffré. Les informations sur les cartes bancaires ne
sont pas concernées puisqu’elles ne sont pas stockées par OVH.
Même si le chiffrement du mot de passe de votre identifiant est très fort,
nous vous conseillons de changer le mot de passe dans les plus brefs délais.
En savoir plus sur l’incident de securité:
http://travaux.ovh.net/?do=details&id=8998
Pas vraiment rapide pour un problème aussi sérieux… OVH a peut-être besoin d’un bon fournisseur email.