Hasard du calendrier, alors que nous vous parlions hier des mesures prises par OVH afin de lutter contre l’intelligence économique « technique », l’hébergeur annonce aujourd’hui avoir découvert un piratage majeur de ses infrastructures.
Un
pirate aurait obtenu accès au backoffice interne de l’hébergeur, dans
son fief de Roubaix. Le cheminement de l’intrus pour y parvenir est un
grand classique du genre : après avoir compromis le compte email d’un
administrateur système, il aurait atteint le VPN via un autre employé,
et de là il aurait été en mesure de compromettre le poste de travail
d’un administrateur système en charge du backoffice.
Selon les
premières constatations de l’hébergeur, le pirate aurait eu deux
objectifs : récupérer la liste des clients européens et accéder au
système de livraison des serveurs au Canada (la première implantation
d’OVH dans sa stratégie nord-américaine)
Pour le premier objectif,
il n’y a pas grand chose à faire : les données personnelles des clients
semblent bel et bien parties dans la nature. Les noms, adresses, email,
numéros de téléphone sont donc perdus. Et surtout aussi les mots de
passe d’accès au « manageur »
(le backoffice clients). OVH assure qu’ils étaient « salés » avec
SHA512, ce qui devrait compliquer sérieusement toute tentative de casse
par force brute. Mais il est tout de même recommandé aux clients de
changer le mot de passe de leur Manager. Les données de paiement, en
revanche, ne sont pas concernées car elles ne sont pas stockées chez OVH
(une mesure pleine de sagesse…)
En ce qui concerne le second
objectif, en revanche, les choses sont moins claires. Le risque
principal est que le contrôle du système de livraison des serveurs
confère au pirate un accès root (administrateur) aux serveurs fraîchement livrés.
D’abord parce qu’il faut bien qu’une fois la machine installée le mot de passe root
soit transmis au client, et qu’il est donc stocké chez OVH. Mais a
priori le client l’a changé une fois le serveur pris en main (et tant
pis pour ceux qui ne l’auraient pas fait !).
Ce risque ne concerne
donc que les clients (nord-américains a priori, pour l’instant) qui ne
se seraient pas encore connectés à leur serveur fraîchement commandé, ou
bien les étourdis qui n’auraient pas pris la peine de changer leur mot
de passe après la première connexion. Mais ceux là méritent peut-être ce
qui leur arrive…
Mais il y a pire : jusqu’à présent OVH
installait par défaut son propre certificat dans chaque machine livrée,
afin de pouvoir s’y connecter aisément (toujours en root). Il
justifiait cela par les besoins d’accès du support technique, au cas ou
le client perdait son mot de passe. La pratique a certes de quoi faire
hurler les puristes, mais les clients habitués le savaient bien et
retiraient généralement cette clé de leur fichier authorized_keys (c’est
toujours une surprise désagréable la première fois que l’on découvre
une telle clé inconnue !). Hélas il y a fort à parier que de très
nombreux clients peu à l’aise avec un serveur Linux n’aient jamais eu
l’idée d’aller retirer cette clé, et ne sache même pas de quoi il s’agit
!
Bien que la clé SSH ne soit pas utilisable depuis une adresse
IP située en dehors du réseau d’administration Canadien d’OVH, elle
aurait pu permettre au pirate de se connecter une première fois au
moment du hack afin de récupérer le mot de passe root de la
machine, pour l’utiliser ultérieurement à sa guise et depuis n’importe
où. Afin de limiter ce risque l’hébergeur à décidé de changer les mots
de passe des serveurs dont le client ne s’était encore jamais connecté,
et surtout d’arrêter cette pratique : désormais la clé OVH sera retirée
dès le serveur livré au client, aussi bien au Canada qu’en Europe.
D’autres
mesures de renforcement de la sécurité sont annoncées : d’abord le
passage de l’authentification au backoffice interne à 3 facteurs :
l’adresse IP source (elle doit être interne, comme c’était déjà le cas),
le mot de passe, et désormais un token physique (une clé YubiKey, fournie par Yubico).
Enfin, l’isolation du VPN aurait également été renforcée, notamment dans le cadre d’une certification PCI-DSS.
Pour
le reste, OVH annonce avoir déposé plainte au pénal, et ne souhaite pas
communiquer d’avantage sur cette affaire tant que l’enquête sera en
cours.
Bien que parfaitement banale dans son déroulement, cette
affaire survient quelques jours à peine après que Octave Klaba, le
fondateur d’OVH, se soit exprimé
au sujet de l’espionnage industriel, et ait reconnu avoir pris la
décision d’interdire à ses développeurs la plate-forme GitHub car,
disait-il alors, « GitHub est hébergé et financé par l’un de nos
concurrents américains. Nous avons eu la puce à l’oreille suite au
débauchage de l’un de nos développeurs. Pour nous, il s’agit de ne
prendre aucun risque ni pour notre entreprise, ni pour nos clients » (lire notre article « Guerre de l’information : OVH interdit GitHub à ses développeurs« )
L’histoire semble avoir justifié ses craintes…
- See more at: http://magazine.qualys.fr/menaces-alertes/ovh-pirate-hack/#sthash.WcNlgubJ.dpuf
Aucun commentaire:
Enregistrer un commentaire
Remarque : Seul un membre de ce blog est autorisé à enregistrer un commentaire.