Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Un pirate sur des serveurs « oubliés » d'OVH, Octave Klaba reconnait une négligence

Et pas qu'une seule...
Internet 3 min
Un pirate sur des serveurs « oubliés » d'OVH, Octave Klaba reconnait une négligence
Crédits : mediaphotos/iStock

Des serveurs d'OVH ont été victime d'une attaque. Si aucune nouvelle donnée n'aurait été dérobée, Octave Klaba reconnait une « négligence » dans la maintenance. Le pirate a en effet utilisé deux serveurs qui auraient dû être éteints et un mot de passe qui trainait « accidentellement ».

En 2015, OVH était victime d'une importante faille de sécurité sur ses serveurs. L'hébergeur avait à l'époque prévenu ses clients qu'un pirate avait installé une porte dérobée permettant de récupérer « les logins et les mots de passe des utilisateurs qui se connectaient ». Il avait procédé à une réinitialisation complète des mots de passe, puis migré son forum sur sa plateforme d'hébergement mutualisé. Affaire terminée ? Pas vraiment non...

D'anciens serveurs restent en ligne, dont un qui avait déjà été piraté

Octave Klaba vient en effet d'annoncer que, « lundi 20 février, l’équipe SOC a reçu des alertes signalant des tentatives de connexion sur nos systèmes internes à partir de l’ancien serveur qui hébergeait l’ancien forum d’OVH ». Il s'agit bien du même serveur que celui qui avait été compromis en 2015. Comment cela est-il possible ? « Normalement ce serveur aurait dû être arrêté depuis, mais il est resté allumé » confesse Octave Klaba.

Là où la situation se complique, c'est que pour y accéder, le pirate est passé par un ancien serveur de bordure b10 (qui se trouve dans le réseau interne d'OVH et qui est interconnecté avec Internet). Lui aussi était censé être à la retraite depuis maintenant deux ou trois ans suite à une réorganisation du réseau d'OVH. Il « aurait dû être coupé », ce qui n'était donc pas le cas.

Un mot de passe qui traine « accidentellement » sur un serveur

Les erreurs et les mauvaises nouvelles ne s'arrêtent pas là pour OVH. En effet, après avoir passé au moins trois semaines dans le serveur b10, le pirate « aurait probablement craqué un mot de passe sur le b10 (accidentellement laissé dans /etc/shadow) et ce même mot de passe aurait fonctionné sur l’ancien serveur du forum ». C'est de cette manière qu'il a pu avoir accès à l’ancienne base de données des utilisateurs du forum.

« Nous n’utilisons plus de mots de passe depuis plusieurs années, mais visiblement ces deux vieux serveurs n’ont pas été correctement nettoyés » précise Octave Klaba.

Pas de nouvelles fuites, mais un coup dur pour OVH

Seule bonne nouvelle finalement, OVH « pense » que le pirate n'a pas pu accéder à d'autres serveurs. « Aucun accès sur les données sensibles n’a été trouvé. Aucun bastion n’a été compromis. Aucune clé privée n’a été dérobée » affirme l'hébergeur, qui ajoute tout de même qu'il continue les analyses pour en être sûr.

Quoi qu'il en soit, c'est un coup dur pour OVH qui reconnait une « négligence », mais il est impossible de faire autrement vu les circonstances. Une analyse des infrastructures internes est en cours « afin d'éteindre les serveurs qui auraient dû l’être et mettre au carré tous les systèmes en profondeur ». « Des opérations qui auraient dû être faites depuis un an » conclut le directeur technique du premier hébergeur Internet européen.

Reste maintenant à voir quelle est la ou les personnes derrière cette attaque, ce qui n'est pas précisé par OVH. 

64 commentaires
Avatar de jackjack2 Abonné
Avatar de jackjack2jackjack2- 24/02/17 à 08:42:13

C'est dingue quand même
Y'en a un qui a dû prendre cher :fumer:

Avatar de JeanMouloud66 INpactien
Avatar de JeanMouloud66JeanMouloud66- 24/02/17 à 08:42:16

Quelle est la probabilité d'un "hack" interne (par un employé) ?

Avatar de djshotam INpactien
Avatar de djshotamdjshotam- 24/02/17 à 08:43:21

OVH ca veut dire on vous heberge, ou bien on vous hack ? :fumer:

Avatar de al_bebert INpactien
Avatar de al_bebertal_bebert- 24/02/17 à 08:43:37

le /etc/shadow est compromis ? on a de quoi reverse le hash ??

Avatar de Krapace INpactien
Avatar de KrapaceKrapace- 24/02/17 à 08:45:28

Sur de vieilles machines on peut encore trouver du MD5 ou du SHA-1 :D

Avatar de aGuy INpactien
Avatar de aGuyaGuy- 24/02/17 à 08:46:19

D'après les audits de sécurité, cette part n'est jamais négligeable. Un ancien employé qui veut se venger et s'est laissé les moyens de le faire ou un employé actuel qui veut foutre la merde ou mettre quelque chose en lumière, qui sait...

Avatar de Jarodd Abonné
Avatar de JaroddJarodd- 24/02/17 à 08:48:53

C'est pas très écolo tout ça, monsieur Klaba !!! :baton:

Avatar de Skywa Abonné
Avatar de SkywaSkywa- 24/02/17 à 08:51:43

Je pense qu'il a utilisé des rainbow tables

Avatar de phos INpactien
Avatar de phosphos- 24/02/17 à 09:04:57

Qualité de service en accord avec la grille tarifaire. 

Avatar de matroska INpactien
Avatar de matroskamatroska- 24/02/17 à 09:05:39

Un pirate... ou la NSA/Palentir ?

:fumer:

Il n'est plus possible de commenter cette actualité.
Page 1 / 7
  • Introduction
  • D'anciens serveurs restent en ligne, dont un qui avait déjà été piraté
  • Un mot de passe qui traine « accidentellement » sur un serveur
  • Pas de nouvelles fuites, mais un coup dur pour OVH
S'abonner à partir de 3,75 €