Un pirate sur des serveurs « oubliés » d'OVH, Octave Klaba reconnait une négligence

Un pirate sur des serveurs « oubliés » d’OVH, Octave Klaba reconnait une négligence

Et pas qu'une seule...

Avatar de l'auteur
Sébastien Gavois

Publié dans

Internet

24/02/2017 3 minutes
64

Un pirate sur des serveurs « oubliés » d'OVH, Octave Klaba reconnait une négligence

Des serveurs d'OVH ont été victime d'une attaque. Si aucune nouvelle donnée n'aurait été dérobée, Octave Klaba reconnait une « négligence » dans la maintenance. Le pirate a en effet utilisé deux serveurs qui auraient dû être éteints et un mot de passe qui trainait « accidentellement ».

En 2015, OVH était victime d'une importante faille de sécurité sur ses serveurs. L'hébergeur avait à l'époque prévenu ses clients qu'un pirate avait installé une porte dérobée permettant de récupérer « les logins et les mots de passe des utilisateurs qui se connectaient ». Il avait procédé à une réinitialisation complète des mots de passe, puis migré son forum sur sa plateforme d'hébergement mutualisé. Affaire terminée ? Pas vraiment non...

D'anciens serveurs restent en ligne, dont un qui avait déjà été piraté

Octave Klaba vient en effet d'annoncer que, « lundi 20 février, l’équipe SOC a reçu des alertes signalant des tentatives de connexion sur nos systèmes internes à partir de l’ancien serveur qui hébergeait l’ancien forum d’OVH ». Il s'agit bien du même serveur que celui qui avait été compromis en 2015. Comment cela est-il possible ? « Normalement ce serveur aurait dû être arrêté depuis, mais il est resté allumé » confesse Octave Klaba.

Là où la situation se complique, c'est que pour y accéder, le pirate est passé par un ancien serveur de bordure b10 (qui se trouve dans le réseau interne d'OVH et qui est interconnecté avec Internet). Lui aussi était censé être à la retraite depuis maintenant deux ou trois ans suite à une réorganisation du réseau d'OVH. Il « aurait dû être coupé », ce qui n'était donc pas le cas.

Un mot de passe qui traine « accidentellement » sur un serveur

Les erreurs et les mauvaises nouvelles ne s'arrêtent pas là pour OVH. En effet, après avoir passé au moins trois semaines dans le serveur b10, le pirate « aurait probablement craqué un mot de passe sur le b10 (accidentellement laissé dans /etc/shadow) et ce même mot de passe aurait fonctionné sur l’ancien serveur du forum ». C'est de cette manière qu'il a pu avoir accès à l’ancienne base de données des utilisateurs du forum.

« Nous n’utilisons plus de mots de passe depuis plusieurs années, mais visiblement ces deux vieux serveurs n’ont pas été correctement nettoyés » précise Octave Klaba.

Pas de nouvelles fuites, mais un coup dur pour OVH

Seule bonne nouvelle finalement, OVH « pense » que le pirate n'a pas pu accéder à d'autres serveurs. « Aucun accès sur les données sensibles n’a été trouvé. Aucun bastion n’a été compromis. Aucune clé privée n’a été dérobée » affirme l'hébergeur, qui ajoute tout de même qu'il continue les analyses pour en être sûr.

Quoi qu'il en soit, c'est un coup dur pour OVH qui reconnait une « négligence », mais il est impossible de faire autrement vu les circonstances. Une analyse des infrastructures internes est en cours « afin d'éteindre les serveurs qui auraient dû l’être et mettre au carré tous les systèmes en profondeur ». « Des opérations qui auraient dû être faites depuis un an » conclut le directeur technique du premier hébergeur Internet européen.

Reste maintenant à voir quelle est la ou les personnes derrière cette attaque, ce qui n'est pas précisé par OVH. 

64

Écrit par Sébastien Gavois

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

D'anciens serveurs restent en ligne, dont un qui avait déjà été piraté

Un mot de passe qui traine « accidentellement » sur un serveur

Pas de nouvelles fuites, mais un coup dur pour OVH

Commentaires (64)


C’est dingue quand même

Y’en a un qui a dû prendre cher <img data-src=" />


Quelle est la probabilité d’un “hack” interne (par un employé) ?


OVH ca veut dire on vous heberge, ou bien on vous hack ? <img data-src=" />


le /etc/shadow est compromis ? on a de quoi reverse le hash ??


Sur de vieilles machines on peut encore trouver du MD5 ou du SHA-1 <img data-src=" />


D’après les audits de sécurité, cette part n’est jamais négligeable. Un ancien employé qui veut se venger et s’est laissé les moyens de le faire ou un employé actuel qui veut foutre la merde ou mettre quelque chose en lumière, qui sait…


C’est pas très écolo tout ça, monsieur Klaba !!! <img data-src=" />


Je pense qu’il a utilisé des rainbow tables


Qualité de service en accord avec la grille tarifaire.&nbsp;


Un pirate… ou la NSA/Palentir ?



<img data-src=" />


ouais, Discord est un des services touché. j’ai reçu un mail ce matin m’invitant à modifier tous mes mots de passes.

Ceci dit, NXI ne fait pas trop non plus sur l’info brute, ils cherchent à avoir un peu de recul donc c’est normal que l’article ne soit pas là 5 minutes après la découverte.


Ouais.

En meme temps avec le nb de serveurs qu’ils se trainent, c’est le genre de meprise qui est plus probable chez eux qu’ailleurs.



Bon point, leur monitoring est assez robuste, ils ont repéré l’intrusion et compris le pb assez rapidement.



Globalement en fait, la news est plutot rassurante, sous des couverts inquietants au 1er abord


Et puis ils communiquent là dessus. Pas comme certains qui restent muets quand ils subissent ce genre d’attaque.


En quoi est ce un coup dur ?

au contraire, cela montre qu’OVH est transparent sur les soucis, comme toujours, et que l’équipe de sécurité à détecté l’intrusion.



La seule erreur finalement c’est l’oubli de stopper la vieille bécane, et il n’y a aucune incidence, excepté qu’au contraire, cela va augmenter encore la sécurité d’OVH.



Quand j’ai reçu l’email d’Octave sur le sujet, cela à confirmé ma confiance en OVH sur ce plan là.

Comme quoi ^^

&nbsp;








Krapmeileur vpn a écrit :



Sur de vieilles machines on peut encore trouver du MD5 ou du SHA-1 <img data-src=" />







Oui même les machines virtuelles n’en manquent pas.&nbsp;




  • Vous vous rappelez de la souche de bactéries qui a tué une partie de l’équipe l’an dernier ? Et bien nous avions oublié de jeter un des tubes à essai qui la contenait. Mais ne vous inquiétez pas, nous l’avons détruite.



    • Merci, c’est rassurant de voir que vous prenez la sécurité très au sérieux.









Dr.Wily a écrit :



Et puis ils communiquent là dessus. Pas comme certains qui restent muets quand ils subissent ce genre d’attaque.





lol, voilà une nouvelle occasion de couverture déclarant que “tout est pardonné”.









ActionFighter a écrit :





  • Vous vous rappelez de la souche de bactéries qui a tué une partie de l’équipe l’an dernier ? Et bien nous avions oublié de jeter un des tubes à essai qui la contenait. Mais ne vous inquiétez pas, nous l’avons détruite.



    • Merci, c’est rassurant de voir que vous prenez la sécurité très au sérieux.





      Et bien moi qui bosse justement dans le domaine chez des gens qui sont parmi les plus gros du monde, je pourrais t’en parler….










ActionFighter a écrit :





  • Vous vous rappelez de la souche de bactéries qui a tué une partie de l’équipe l’an dernier ? Et bien nous avions oublié de jeter un des tubes à essai qui la contenait. Mais ne vous inquiétez pas, nous l’avons détruite.



    • Merci, c’est rassurant de voir que vous prenez la sécurité très au sérieux.





      Les analogies, un art à la portée de tous







      Drepanocytose a écrit :



      Et bien moi qui bosse justement dans le domaine chez des gens qui sont parmi les plus gros du monde, je pourrais t’en parler….&nbsp;



      Z’ont qu’à faire un régime <img data-src=" />










ITWT a écrit :



lol, voilà une nouvelle occasion de couverture déclarant que “tout est pardonné”.





S’ils n’avaient pas communiqué, il n’y aurait rien eu a pardonner, car tu n’aurais rien su du tout…



au moins c’est un forme de transparence, honnête de leur part…



si c’est vrai #illuminati #reptilien #complot


Sans doute… c’est que ça me fait toujours bizarre lorsque la presse informatique du monde entier parle d’un sujet et que NXI semble l’ignorer…

http://fr.lmgtfy.com/?t=n&q=cloudflare








Drepanocytose a écrit :



Et bien moi qui bosse justement dans le domaine chez des gens qui sont parmi les plus gros du monde, je pourrais t’en parler….





N’hésite pas à lancer des alertes, si tu aimes la Russie <img data-src=" />









Drepanocytose a écrit :



S’ils n’avaient pas communiqué, il n’y aurait rien eu a pardonner, car tu n’aurais rien su du tout…





Il est facile de communiquer quand les conséquences immédiates (vol ou destruction) sont inexistantes. Le “pirate” a qd même fait sa vie 3 semaines dans une partie de l’infra et j’aurais été curieux de voir le niveau de comm en cas d’impact direct sur l’intégrité.



C’est de la comm pour du vent, tout est à l’abri, on prend plus de risque à ne rien dire dès fois que ça sorte par ailleurs.









BTCKnight a écrit :



Sans doute… c’est que ça me fait toujours bizarre lorsque la presse informatique du monde entier parle d’un sujet et que NXI semble l’ignorer…

http://fr.lmgtfy.com/?t=n&q=cloudflare





NXI est plus généraliste que Silicon, le monde Info ou undernews à mon sens&nbsp;<img data-src=" />









BTCKnight a écrit :



Sans doute… c’est que ça me fait toujours bizarre lorsque la presse informatique du monde entier parle d’un sujet et que NXI semble l’ignorer…

http://fr.lmgtfy.com/?t=n&q=cloudflare





Oui assez d’accord, ils pourraient mettre un début d’article avec un bandeau “EN COURS DE REDACTION” histoire de prévenir les gens (surtout quand ça touche à la sécurité!) et le compléter plus tard









Drepanocytose a écrit :



Et bien moi qui bosse justement dans le domaine chez des gens qui sont parmi les plus gros du monde, je pourrais t’en parler….





https://wikileaks.org/#submit

Sans plaisanter…



La main invisible du marché libre et ouvert va régler tout ça.








jackjack2 a écrit :



https://wikileaks.org/#submit

Sans plaisanter…





Lol.

C’est pareil partout. Discute avec des gzns qui bossent dans le nucleaire, discute avec des gens qui bossent dans l’agro, discute avec des bouseux qui font de l’elevage…

Tu serais surpris









Drepanocytose a écrit :



Lol.

C’est pareil partout. Discute avec des gzns qui bossent dans le nucleaire, discute avec des gens qui bossent dans l’agro, discute avec des bouseux qui font de l’elevage…

Tu serais surpris





T’inquiète je bosse dans la chimie, plus rien ne me surprend



Quand il dit qu’il n’utilisent plus de mots de passe, ça signifie qu’ils utilisent des clés?








Drepanocytose a écrit :



&nbsp;des bouseux qui font de l’elevage…



c’est gentil pour eux&nbsp;<img data-src=" />



Oui, un nain transporte des clés sécurisées de serveur en serveur.








al_bebert a écrit :



le /etc/shadow est compromis ? on a de quoi reverse le hash ??









Krapace a écrit :



Sur de vieilles machines on peut encore trouver du MD5 ou du SHA-1 <img data-src=" />





Oui enfin, avant de trouver un mot de passe qui corresponde à l’empreinte, si tu n’as pas un énorme réseau de machines à disposition, tu peux attendre la retraite.



Moi je dit que ce serveur… Is a trap!!!








jackjack2 a écrit :



Oui assez d’accord, ils pourraient mettre un début d’article avec un bandeau “EN COURS DE REDACTION” histoire de prévenir les gens (surtout quand ça touche à la sécurité!) et le compléter plus tard





Ouais, bien d’accord avec toi… mais ils bossent quand même sur cette info, “finalement”…

https://twitter.com/Seb_NXi/status/835065579421765632



Mais rien n’est pardonné, mais au moins ils communiquent sur le sujet au lieu de rester dans le mutisme lâche.


Ou, comme certains de mes clients, supprimer tous les mots de passes et laisser tout ouvert \o/&nbsp;








tpeg5stan a écrit :



c’est gentil pour eux&nbsp;<img data-src=" />





Chacun sa merde









Drepanocytose a écrit :



Ouais.

En meme temps avec le nb de serveurs qu’ils se trainent, c’est le genre de meprise qui est plus probable chez eux qu’ailleurs.



Bon point, leur monitoring est assez robuste, ils ont repéré l’intrusion et compris le pb assez rapidement.



Globalement en fait, la news est plutot rassurante, sous des couverts inquietants au 1er abord







+1









Drepanocytose a écrit :



Chacun sa merde





<img data-src=" />



Rien de surprenant vu l’organisation interne de la société ..&nbsp;<img data-src=" />


Etre chez ovh et devoir attendre 15 minutes pour créer une bdd et ce faire couper le site si l’affluence est trop grande, ou alors aller chez online et utiliser leur distrib pleine de faille, dur choix !


Elles ont des failles particulières les distribs d’Online ? Source ?

J’espère que tu ne compares pas du dédié et du mutualisé…








jackjack2 a écrit :



Oui assez d’accord, ils pourraient mettre un début d’article avec un bandeau “EN COURS DE REDACTION” histoire de prévenir les gens (surtout quand ça touche à la sécurité!) et le compléter plus tard





Après NXi ne cherche pas à être un relais pour prévenir des failles de sécurité, dans le sens où d’autres site spécialisé dans ce domaine auront l’information bien plus tôt.

Ils cherchent plutôt à expliquer/analyser, avec un peu de recul, ce qui s’est vraiment passé et les conséquences.



J’ai l’impression qu’OVH grandit trop vite et en oublie des fondamentaux…

Ils ouvrent des datacenters à tous de bras mais laissent en service un serveur compromis et se rendent compte d’une intrusion 3 semaines après.

Après comme dit au moins ils communiquent…


Au moins ils sont honnêtes.



T’es dur, ça&nbsp;vaut au moins la moyenne&nbsp;! &nbsp;<img data-src=" />


ça pique !








DownThemAll a écrit :



J’ai l’impression qu’OVH grandit trop vite et en oublie des fondamentaux…

Ils ouvrent des datacenters à tous de bras mais laissent en service un serveur compromis et se rendent compte d’une intrusion 3 semaines après.

Après comme dit au moins ils communiquent…





Tu penses qu’en grandissant moins vite ça se passerait mieux? Pas sûr…&nbsp;



Est-ce là la cause de la perte de la moitié des serveurs de GRA pendant près d’1h hier soir ?


Suffit de demander. x’)








al_bebert a écrit :



le /etc/shadow est compromis ? on a de quoi reverse le hash ??





En brut force avec assez de puissance, c’est jouable suivant la méthode de hash et la longueur de la chaine ;)



Par contre , le coup de 2 serveurs pas arrêtez alors qu’ils auraient du, dont un déjà vérolé, c’est étrange.

C’est gros, c’est gras.. on dirait un troll.

De là a penser comme certains à une aide interne, il n’y a qu’un pas.



“ancien serveur de bordure b10”Je suppose qu’il est en DMZ ? Donc pas tout à fait dans le réseau interne d’OVH.








Drepanocytose a écrit :



Lol.

C’est pareil partout. Discute avec des gzns qui bossent dans le nucleaire, discute avec des gens qui bossent dans l’agro, discute avec des bouseux qui font de l’elevage…

Tu serais surpris







Même dans l’administration à un niveau modeste comme moi, t’en vois de belles…



Sinon, ça expliquerait peut-être pourquoi mon Hubic était quasiment inutilisable la dernière fois que j’ai voulu UL une sauvegarde dessus…









the_Grim_Reaper a écrit :



[…]

De là a penser comme certains à une aide interne, il n’y a qu’un pas.





J’avoue que c’est la première chose qui m’est venue à l’esprit en lisant la news









Whinette a écrit :



http://pastebin.com/4hdLMeHh





Mais non…

Bon si même OVH balance mes infos dans la nature, je passe à keepass ce soir…









TheMyst a écrit :



Elles ont des failles particulières les distribs d’Online ? Source ?





Ca m’est arrivé une fois et une fois à un pote il y à pas longtemps, après une réinstallation du système. Pour ma part j’ai carrément eu droit à un mail d’abuse du cnrs… J’ai donc sécurisé jusqu’à ne restreindre le ssh à mon ip, configuration fail2ban et comparnie, 3 jours plus tard un autre mail d’abuse. Après avoir farfouillé dans le forum je n’était pas le seul, j’ai réinstallé et tout est rentré dans l’ordre. Je sais plus si il y à eu une communication officielle la dessus, peut être juste dans le forum j’en sais trop rien ça fait longtemps. Par contre il y à énormément d’attaque de dedibox à dedibox.

&nbsp;

&nbsp;





TheMyst a écrit :



J’espère que tu ne compares pas du dédié et du mutualisé…





Un dédié une fois lancé ça tourne comme une horloge, si tu le reboot une fois l’année c’est déjà beaucoup. Perso j’ai jamais eu de problème, en plus online fournis un serveur de backup, et il y à des tonnes de tuto sur internet sur comment monter un dédié. Ovh j’ai testé une fois, comme je le disais, 15 minutes pour créer une base de donnée c’est même pas la peine… Et pour déployer le site, fichier par fichier en ftp, youpi.



Quand au prix, ils sont quasiment identiques, sauf que sur un dédié chez online tu peut caller 20 site la ou chez ovh tu peut à peine en caler un ( perfs de marde ).



Sûrement qu’ils utilisent hash + salt maintenant


HS : Vous savez ce que donnent Godaddy ? j’ai bien envie de prendre un DS chez eux








Master Of Bandwidth a écrit :



Sûrement qu’ils utilisent hash + salt maintenant





Ca ça signifierait qu’ils utilisent tj des mots de passe



Tiens pour réagir à Online.

Ils m’ont cramé un serveur hier, un technicien à ouvert le mauvais interrupteur, coupure electrique dans deux salles chez eux, carte mère cramé.

Sont sympa, ils fournissent un nouveau serveur pour remplacer l’ancien :)



Sinon, pour le reste, tant pis.



OVH m’avais fait le même coup en 2005 (mais sans cramé le serveur)



Online il y avait le CPU qui freezait avec une certaine release de Debian (youhou), GG, vive le C7



Les attaque entre dedibox c’est depuis le début, par contre je n’ai jamais eu de problème, fail2ban etc.



Sinon concernant les releases, elles sont (contrairement au début) très peu modifié par Online, il n’y a pas de kernel spécial (sauf erreur de ma part), je checkerais ce soir vu que je suis entrain de reinstaller mon serveur :)



Edit: Ha sinon, j’ai un serveur en fin de vie, par contre aucun remplacement pour le moment. En gros si il crame je vais me faire (mais dans tous les cas je vais me faire quand même, donc ça changera rien)