khadim
22/07/2013, 15h39
Bonjour,
Il y a quelques jours, nous avons découvert que la sécurité de notre réseau
interne dans nos bureaux à Roubaix a été compromise. Après les
investigations en interne, il s'avère qu'un hackeur a réussi à obtenir les
accès sur un compte email d'un de nos administrateurs système. Grâce à cet
accès email, il a obtenu l'accès sur le VPN interne d'un autre employé. Puis
grâce à cet accès VPN, il a fini par compromettre les accès de l'un des
administrateurs système qui s'occupe du backoffice interne.
Jusque là, la sécurité interne se basait sur 2 niveaux de vérification:
- géographique: l'obligation d'être au bureau ou
utiliser le VPN, l'ip source
- personnel: le mot de passe
Les mesures prises suite à cet incident
---------------------------------------
Immédiatement suite à ce hack, nous avons modifié les règles de sécurité en
interne:
- les mots de passe de tous les employés ont
été régénérés sur tous les types d'accès.
- nous avons mis en place un nouveau VPN
dans une salle sécurisée PCI-DSS avec
accès très restreints
- la consultation des emails internes n'est
désormais possible qu'à partir du bureau/VPN
- tous les salariés passent sur 3 niveaux de
vérification:
- l'ip source
- le mot de passe
- le token hardware personnel (YubiKey)
Constat
-------
Après nos investigations internes, nous supposons que le hackeur a exploité
ces accès pour parvenir à 2 objectifs:
- récupérer la base de données de nos clients Europe
- gagner l'accès sur le système d'installation de
serveurs au Canada
La base de données de clients Europe comporte les informations personnelles
de clients: le nom, le prénom, le nic, l'adresse, la ville, le pays, le
téléphone, le fax et le mot de passe chiffré.
Le chiffrement du mot de passe est "salé" et basé sur SHA512, afin d'éviter
le bruteforce. Il faut beaucoup de moyens technique pour retrouver le mot de
passe en clair. Mais c'est possible. C'est pourquoi nous vous conseillons de
changer le mot de passe de votre identifiant. Un email sera envoyé
aujourd'hui à tous nos clients expliquant ces mesures de sécurité et les
invitant à changer le mot de passe.
Aucune information sur les cartes bancaires n'est stockée chez Ovh. Les
informations sur les cartes bancaires n'ont ni été consultées ni copiées.
Quant au système de livraison de serveurs au Canada, le risque que nous
avons identifié est que si le client n'avait pas retiré notre clé SSH du
serveur, le hackeur aurait pu se connecter à partir de notre système pour
récupérer le mot de passe enregistré dans le fichier .p. La clé SSH n'est
pas utilisable à partir d'un autre serveur, uniquement de notre backoffice
au Canada. Et donc dans la mesure où le client n'a pas enlevé notre clé SSH
et n'a pas changé de mot de passe root, nous avons immédiatement changé le
mot de passe de son serveurs dans le DC à BHS, afin d'annuler ce risque là.
Un email sera envoyé aujourd'hui avec le nouveau mot de passe. La clé SSH
sera désormais effacé de manière systématique à la fin de la livraison du
serveur aussi bien au Canada qu'en Europe. Si le client a besoin d'Ovh pour
le support il devra réinstaller une nouvelle clé SSH.
De manière globale, le backoffice passera dans les prochains mois sous la
norme PCI-DSS qui nous permettra de garantir que le cas d'incident lié à un
hack précis sur les personnes précises il n'y ait pas d'impact sur nos bases
de données.
En un mot, nous n'avons pas été assez parano et on passe désormais en mode
parano supérieur. Le but est de garantir vos données et se prémunir contre
l'espionnage industriel qui viserait les personnes travaillant chez Ovh.
Nous déposons aussi une plainte pénale auprès des autorités judiciaires.
Afin de ne pas perturber le travail des enquêteurs, nous n'allons pas donner
d'autres détails avant d'avoir les conclusions finales.
Veuillez accepter nos sincères excuses pour cet incident. Merci pour votre
compréhension.
Amicalement
Il y a quelques jours, nous avons découvert que la sécurité de notre réseau
interne dans nos bureaux à Roubaix a été compromise. Après les
investigations en interne, il s'avère qu'un hackeur a réussi à obtenir les
accès sur un compte email d'un de nos administrateurs système. Grâce à cet
accès email, il a obtenu l'accès sur le VPN interne d'un autre employé. Puis
grâce à cet accès VPN, il a fini par compromettre les accès de l'un des
administrateurs système qui s'occupe du backoffice interne.
Jusque là, la sécurité interne se basait sur 2 niveaux de vérification:
- géographique: l'obligation d'être au bureau ou
utiliser le VPN, l'ip source
- personnel: le mot de passe
Les mesures prises suite à cet incident
---------------------------------------
Immédiatement suite à ce hack, nous avons modifié les règles de sécurité en
interne:
- les mots de passe de tous les employés ont
été régénérés sur tous les types d'accès.
- nous avons mis en place un nouveau VPN
dans une salle sécurisée PCI-DSS avec
accès très restreints
- la consultation des emails internes n'est
désormais possible qu'à partir du bureau/VPN
- tous les salariés passent sur 3 niveaux de
vérification:
- l'ip source
- le mot de passe
- le token hardware personnel (YubiKey)
Constat
-------
Après nos investigations internes, nous supposons que le hackeur a exploité
ces accès pour parvenir à 2 objectifs:
- récupérer la base de données de nos clients Europe
- gagner l'accès sur le système d'installation de
serveurs au Canada
La base de données de clients Europe comporte les informations personnelles
de clients: le nom, le prénom, le nic, l'adresse, la ville, le pays, le
téléphone, le fax et le mot de passe chiffré.
Le chiffrement du mot de passe est "salé" et basé sur SHA512, afin d'éviter
le bruteforce. Il faut beaucoup de moyens technique pour retrouver le mot de
passe en clair. Mais c'est possible. C'est pourquoi nous vous conseillons de
changer le mot de passe de votre identifiant. Un email sera envoyé
aujourd'hui à tous nos clients expliquant ces mesures de sécurité et les
invitant à changer le mot de passe.
Aucune information sur les cartes bancaires n'est stockée chez Ovh. Les
informations sur les cartes bancaires n'ont ni été consultées ni copiées.
Quant au système de livraison de serveurs au Canada, le risque que nous
avons identifié est que si le client n'avait pas retiré notre clé SSH du
serveur, le hackeur aurait pu se connecter à partir de notre système pour
récupérer le mot de passe enregistré dans le fichier .p. La clé SSH n'est
pas utilisable à partir d'un autre serveur, uniquement de notre backoffice
au Canada. Et donc dans la mesure où le client n'a pas enlevé notre clé SSH
et n'a pas changé de mot de passe root, nous avons immédiatement changé le
mot de passe de son serveurs dans le DC à BHS, afin d'annuler ce risque là.
Un email sera envoyé aujourd'hui avec le nouveau mot de passe. La clé SSH
sera désormais effacé de manière systématique à la fin de la livraison du
serveur aussi bien au Canada qu'en Europe. Si le client a besoin d'Ovh pour
le support il devra réinstaller une nouvelle clé SSH.
De manière globale, le backoffice passera dans les prochains mois sous la
norme PCI-DSS qui nous permettra de garantir que le cas d'incident lié à un
hack précis sur les personnes précises il n'y ait pas d'impact sur nos bases
de données.
En un mot, nous n'avons pas été assez parano et on passe désormais en mode
parano supérieur. Le but est de garantir vos données et se prémunir contre
l'espionnage industriel qui viserait les personnes travaillant chez Ovh.
Nous déposons aussi une plainte pénale auprès des autorités judiciaires.
Afin de ne pas perturber le travail des enquêteurs, nous n'allons pas donner
d'autres détails avant d'avoir les conclusions finales.
Veuillez accepter nos sincères excuses pour cet incident. Merci pour votre
compréhension.
Amicalement