Pages: [1] 2 3   En bas

Auteur Sujet: OVH : Un hacker s’empare de la base de données clients  (Lu 9830 fois)

0 Membres et 1 Invité sur ce sujet

lancelot77

  • Expert Orange
  • Abonné Orange Fibre
  • *
  • Messages: 498
  • Bussy St Georges 77
OVH : Un hacker s’empare de la base de données clients
« le: 22 juillet 2013 à 18:31:59 »
OVH : Un hacker s’empare de la base de données clients

Bonjour,
Il y a quelques jours, nous avons découvert que la sécurité de notre réseau interne dans nos bureaux à Roubaix a été compromise. Après les investigations en interne, il s'avère qu'un hackeur a réussi à obtenir les accès sur un compte email d'un de nos administrateurs système. Grâce à cet accès email, il a obtenu l'accès sur le VPN interne d'un autre employé. Puis grâce à cet accès VPN, il a fini par compromettre les accès
de l'un des administrateurs système qui s'occupe du backoffice interne.

Jusque là, la sécurité interne se basait sur 2 niveaux de vérification:
- géographique: l'obligation d'être au bureau ou utiliser le VPN, l'ip source
- personnel: le mot de passe

Les mesures prises suite à cet incident
---------------------------------------
Immédiatement suite à ce hack, nous avons modifié les règles de sécurité en interne:
- les mots de passe de tous les employés ont été régénérés sur tous les types d'accès.
- nous avons mis en place un nouveau VPN dans une salle sécurisée PCI-DSS avec accès très restreints
- la consultation des emails internes n'est désormais possible qu'à partir du bureau/VPN
- tous les salariés passent sur 3 niveaux de vérification:
- l'ip source
- le mot de passe
- le token hardware personnel (YubiKey)

Constat
-------
Après nos investigations internes, nous supposons que le hackeur a exploité ces accès pour parvenir à 2 objectifs:
- récupérer la base de données de nos clients Europe
- gagner l'accès sur le système d'installation de serveurs au Canada

La base de données de clients Europe comporte les informations personnelles de clients: le nom, le prénom, le nic, l'adresse, la ville, le pays, le téléphone, le fax et le mot de passe chiffré.
Le chiffrement du mot de passe est "salé" et basé sur SHA512, afin d'éviter le bruteforce. Il faut beaucoup de moyens technique pour retrouver le mot de passe en clair. Mais c'est possible. C'est pourquoi nous vous conseillons de changer le mot de passe de votre identifiant. Un email sera envoyé aujourd'hui à tous nos clients expliquant ces mesures de sécurité et les invitant à changer le mot de passe.
Aucune information sur les cartes bancaires n'est stockée chez Ovh. Les informations sur les cartes bancaires n'ont ni été consultées ni copiées.

Quant au système de livraison de serveurs au Canada, le risque que nous avons identifié est que si le client n'avait pas retiré notre clé SSH du serveur, le hackeur aurait pu se connecter à partir de notre système pour récupérer le mot de passe enregistré dans le fichier. La clé SSH n'est pas utilisable à partir d'un autre serveur, uniquement de notre backoffice au Canada. Et donc dans la mesure où le client n'a pas enlevé notre clé SSH et n'a pas changé de mot de passe root, nous avons immédiatement changé le mot de passe de son serveurs dans le DC à BHS, afin d'annuler ce risque là. Un email sera envoyé aujourd'hui avec le nouveau mot de passe. La clé SSH sera désormais effacé de manière systématique à la fin de la livraison du serveur aussi bien au Canada qu'en Europe. Si le client a besoin d'Ovh pour le support il devra réinstaller une nouvelle clé SSH.

De manière globale, le backoffice passera dans les prochains mois sous la norme PCI-DSS qui nous permettra de garantir que le cas d'incident lié à un hack précis sur les personnes précises il n'y ait pas d'impact sur nos bases de données.
En un mot, nous n'avons pas été assez parano et on passe désormais en mode parano supérieur. Le but est de garantir vos données et se prémunir contre l'espionnage industriel qui viserait les personnes travaillant chez Ovh.

Nous déposons aussi une plainte pénale auprès des autorités judiciaires. Afin de ne pas perturber le travail des enquêteurs, nous n'allons pas donner d'autres détails avant d'avoir les conclusions finales.

Veuillez accepter nos sincères excuses pour cet incident. Merci pour votre compréhension.

Amicalement
Octave

Source : OVH
IP archivée

hitmanpro

  • Abonné Free adsl
  • *
  • Messages: 7
  • Rouen (76)
OVH : Un hacker s’empare de la base de données clients
« Réponse #1 le: 22 juillet 2013 à 20:01:41 »
Citation de: lancelot77 le 22 juillet 2013 à 18:31:59
tous les salariés passent sur 3 niveaux de vérification ».
Normalement, le 3eme niveau de sécurité passera par un token physique personnel.
IP archivée

Nico

  • Modérateur
  • *
  • Messages: 44 474
  • FTTH 1000/500 sur Paris 15ème (75)
    • @_GaLaK_
OVH : Un hacker s’empare de la base de données clients
« Réponse #2 le: 22 juillet 2013 à 20:32:25 »
Token YubiKey.
IP archivée

corrector

  • Invité
OVH raconte n'importe quoi : incompétence?
« Réponse #3 le: 22 juillet 2013 à 21:19:42 »
Citation de: lancelot77 le 22 juillet 2013 à 18:31:59
Le chiffrement du mot de passe est "salé" et basé sur SHA512, afin d’éviter le bruteforce.
chiffrement -> hachage

Citer
Le hachage du mot de passe est "salé" et basé sur SHA512, afin d’éviter le bruteforce.
Pardon?

En quoi une méthode de hachage cryptographique évite l'attaque par force brute?

C'est n'importe quoi! Celui a écrit/conçu ça est totalement incompétent et ignorant des bonnes pratiques minimum qui ont cours pour un problème identifié au moins depuis la fin des années 70.

Je suis consterné.
IP archivée

Nico

  • Modérateur
  • *
  • Messages: 44 474
  • FTTH 1000/500 sur Paris 15ème (75)
    • @_GaLaK_
OVH : Un hacker s’empare de la base de données clients
« Réponse #4 le: 22 juillet 2013 à 21:29:01 »
Je comprends ta consternation mon cher corrector, mais pourrais-tu expliquer le soucis pour le néophyte que je suis ?
IP archivée

corrector

  • Invité
Force brute
« Réponse #5 le: 22 juillet 2013 à 21:33:20 »
Imagine que je marque le code PIN (d'une SIM Free Mobile ou d'une CB) sur l'appareil, tu vois le problème?

Imagine que je marque le MD5(code) à la place, est-ce que c'est mieux?
IP archivée

Nico

  • Modérateur
  • *
  • Messages: 44 474
  • FTTH 1000/500 sur Paris 15ème (75)
    • @_GaLaK_
Force brute
« Réponse #6 le: 22 juillet 2013 à 21:36:06 »
Citation de: corrector le 22 juillet 2013 à 21:33:20
Imagine que je marque le MD5(code) à la place, est-ce que c'est mieux?
Dépends - à mes yeux - de la facilité à passer du MD5 au code PIN. Si ils utilisent du gros sel ça ne limite pas très fortement le bruteforce (et les rainbow ?) ?
IP archivée

Thibault

  • AS2027 MilkyWan + Client K-Net
  • Modérateur
  • *
  • Messages: 2 030
  • BBox FTTH Lyon & FTTH K-net Cormoranche S/S
OVH : Un hacker s’empare de la base de données clients
« Réponse #7 le: 22 juillet 2013 à 21:43:48 »
Il doit être Hash avec une clé, ce qui rend le brute force encore plus difficile, vu que ce n'est pas le mot de passe directement qui est hash.

J'ai déjà vu une méthode qui hash le mot de passe, ensuite on rajoute une clé, puis on rehash.

D'après moi, c'est très compliqué de revenir à la source, mais je ne suis pas un pro, en protection ;D
IP archivée

corrector

  • Invité
Force brute
« Réponse #8 le: 22 juillet 2013 à 21:51:39 »
Citation de: Nico le 22 juillet 2013 à 21:36:06
Dépends - à mes yeux - de la facilité à passer du MD5 au code PIN.
Retrouver x à partir de MD5(x)?

Il n'y a aucune méthode efficace connue.

Citation de: Nico le 22 juillet 2013 à 21:36:06
Si ils utilisent du gros sel ça ne limite pas très fortement le bruteforce (et les rainbow ?) ?
Du genre :

MD5(PIN || salt)

|| est la concaténation
IP archivée

corrector

  • Invité
Hachage des mots de passe
« Réponse #9 le: 22 juillet 2013 à 22:12:41 »
Citation de: TitiDu01 le 22 juillet 2013 à 21:43:48
Il doit être Hash avec une clé, ce qui rend le brute force encore plus difficile, vu que ce n'est pas le mot de passe directement qui est hash.

J'ai déjà vu une méthode qui hash le mot de passe, ensuite on rajoute une clé, puis on rehash.
Quelque chose comme ça

hpw = H(H(pw) || s)

pw = mot de passe
hpw = mot de passe haché
s = graine = nombre aléatoire stocké avec hpw
H pouvant être MD5, SHA1...

Encore une fois, on ne connait aucune méthode générale de retrouver x à partir de H(x) pour H = MD5 ou SHA1 ou SHA512

Mais si tu utilises ça avec ton code PIN de SIM Free Mobile, tu crois avoir la moindre sécurité?

On suppose que l'on dispose d'une bête de course comme le Macintosh Classic (Motorola 68000 à 3 MHz) afin de casser ce code.
« Modifié: 22 juillet 2013 à 22:52:31 par corrector »
IP archivée

cali

  • Officiel Ukrainian Resilient Data Network
  • Fédération FDN
  • *
  • Messages: 2 401
    • Ukrainian Resilient Data Network
OVH : Un hacker s’empare de la base de données clients
« Réponse #10 le: 23 juillet 2013 à 00:30:22 »
Je vais faire exprès de pas changer mon mot de passe pou voir :)
IP archivée

BadMax

  • Client Free adsl
  • Expert
  • *
  • Messages: 3 481
  • Malissard (26)
OVH raconte n'importe quoi : incompétence?
« Réponse #11 le: 23 juillet 2013 à 08:02:16 »
Citation de: corrector le 22 juillet 2013 à 21:19:42
chiffrement -> hachage
Pardon?

En quoi une méthode de hachage cryptographique évite l'attaque par force brute?

C'est n'importe quoi! Celui a écrit/conçu ça est totalement incompétent et ignorant des bonnes pratiques minimum qui ont cours pour un problème identifié au moins depuis la fin des années 70.

Je suis consterné.

L'affirmation se base à mon avis sur le fait que SHA512 rend assez lente une attaque par bruteforce.

Faudrait vérifier la vitesse avec une carte Gfx.
IP archivée
Pages: [1] 2 3   En haut