Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

OVH : « On passe en mode parano »

auteur de l'article Jerome Saiz , dans la rubrique Menaces

Hasard du calendrier, alors que nous vous parlions hier des mesures prises par OVH afin de lutter contre l’intelligence économique « technique », l’hébergeur annonce aujourd’hui avoir découvert un piratage majeur de ses infrastructures.

Un pirate aurait obtenu accès au backoffice interne de l’hébergeur, dans son fief de Roubaix. Le cheminement de l’intrus pour y parvenir est un grand classique du genre : après avoir compromis le compte email d’un administrateur système, il aurait atteint le VPN via un autre employé, et de là il aurait été en mesure de compromettre le poste de travail d’un administrateur système en charge du backoffice.

Selon les premières constatations de l’hébergeur, le pirate aurait eu deux objectifs : récupérer la liste des clients européens et accéder au système de livraison des serveurs au Canada (la première implantation d’OVH dans sa stratégie nord-américaine)

Pour le premier objectif, il n’y a pas grand chose à faire : les données personnelles des clients semblent bel et bien parties dans la nature. Les noms, adresses, email, numéros de téléphone sont donc perdus. Et surtout aussi les mots de passe d’accès au « manageur » (le backoffice clients). OVH assure qu’ils étaient « salés » avec SHA512, ce qui devrait compliquer sérieusement toute tentative de casse par force brute. Mais il est tout de même recommandé aux clients de changer le mot de passe de leur Manager. Les données de paiement, en revanche, ne sont pas concernées car elles ne sont pas stockées chez OVH (une mesure pleine de sagesse…)

En ce qui concerne le second objectif, en revanche, les choses sont moins claires. Le risque principal est que le contrôle du système de livraison des serveurs confère au pirate un accès root (administrateur) aux serveurs fraîchement livrés.

D’abord parce qu’il faut bien qu’une fois la machine installée le mot de passe root soit transmis au client, et qu’il est donc stocké chez OVH. Mais a priori le client l’a changé une fois le serveur pris en main (et tant pis pour ceux qui ne l’auraient pas fait !).
Ce risque ne concerne donc que les clients (nord-américains a priori, pour l’instant) qui ne se seraient pas encore connectés à leur serveur fraîchement commandé, ou bien les étourdis qui n’auraient pas pris la peine de changer leur mot de passe après la première connexion. Mais ceux là méritent peut-être ce qui leur arrive…

Mais il y a pire : jusqu’à présent OVH installait par défaut son propre certificat dans chaque machine livrée, afin de pouvoir s’y connecter aisément (toujours en root). Il justifiait cela par les besoins d’accès du support technique, au cas ou le client perdait son mot de passe. La pratique a certes de quoi faire hurler les puristes, mais les clients habitués le savaient bien et retiraient généralement cette clé de leur fichier authorized_keys (c’est toujours une surprise désagréable la première fois que l’on découvre une telle clé inconnue !). Hélas il y a fort à parier que de très nombreux clients peu à l’aise avec un serveur Linux n’aient jamais eu l’idée d’aller retirer cette clé, et ne sache même pas de quoi il s’agit !

Bien que la clé SSH ne soit pas utilisable depuis une adresse IP située en dehors du réseau d’administration Canadien d’OVH, elle aurait pu permettre au pirate de se connecter une première fois au moment du hack afin de récupérer le mot de passe root de la machine, pour l’utiliser ultérieurement à sa guise et depuis n’importe où. Afin de limiter ce risque l’hébergeur à décidé de changer les mots de passe des serveurs dont le client ne s’était encore jamais connecté, et surtout d’arrêter cette pratique : désormais la clé OVH sera retirée dès le serveur livré au client, aussi bien au Canada qu’en Europe.

D’autres mesures de renforcement de la sécurité sont annoncées : d’abord le passage de l’authentification au backoffice interne à 3 facteurs : l’adresse IP source (elle doit être interne, comme c’était déjà le cas), le mot de passe, et désormais un token physique (une clé YubiKey, fournie par Yubico).

Enfin, l’isolation du VPN aurait également été renforcée, notamment dans le cadre d’une certification PCI-DSS.

Pour le reste, OVH annonce avoir déposé plainte au pénal, et ne souhaite pas communiquer d’avantage sur cette affaire tant que l’enquête sera en cours.

Bien que parfaitement banale dans son déroulement, cette affaire survient quelques jours à peine après que Octave Klaba, le fondateur d’OVH, se soit exprimé au sujet de l’espionnage industriel, et ait reconnu avoir pris la décision d’interdire à ses développeurs la plate-forme GitHub car, disait-il alors, « GitHub est hébergé et financé par l’un de nos concurrents américains. Nous avons eu la puce à l’oreille suite au débauchage de l’un de nos développeurs. Pour nous, il s’agit de ne prendre aucun risque ni pour notre entreprise, ni pour nos clients » (lire notre article « Guerre de l’information : OVH interdit GitHub à ses développeurs« )

L’histoire semble avoir justifié ses craintes…


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Une réponse à OVH : « On passe en mode parano »

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.