Un hacker s’empare de la base de clients d’OVH
Dans un message d’information à ses clients, Octave Klaba, le fondateur et dirigeant de l’hébergeur et fournisseur de services cloud OVH a averti qu’un hacker avait réussi à pénétrer les défenses de l’entreprise pour accéder au fichier de ses clients.
Dans un message d’information à ses clients, Octave Klaba, le fondateur et dirigeant de l’hébergeur et fournisseur de services cloud OVH a averti qu’un hacker avait réussi à pénétrer les défenses de l’entreprise pour accéder au fichier de ses clients. Ce dernier contient le nom, le prénom, le nic, l’adresse, la ville, le pays, le téléphone, le fax et le mot de passe chiffré des utilisateurs. Le mot de passe est chiffré via l’algorithme SHA 512 et « salé », ce qui empêche une attaque en force brute massive sur la base d’identifiants récoltées.
Le patron d’OVH note toutefois qu’il est possible à une organisation bien équipée de retrouver les mots de passe. OVH conseille donc à ses clients de modifier leurs mots de passe. Il précise qu’OVH ne conserve aucune information sur les cartes bancaires et que ces informations ne sont donc pas concernées par l’intrusion.
De façon assez rafraichissante, la firme livre aussi un post mortem assez détaillé de l’attaque et détaille les mesures prises pour éviter qu’elle ne se reproduise. Selon la firme, le hacker a réussi à obtenir les accès email d’un des administrateurs système, puis à partir de ces informations a obtenu l’accès sur le VPN interne d’un autre employé. Muni de ces informations, il a fini par compromettre les accès d’un des administrateurs système qui s’occupe du backoffice interne.
Pour mettre un terme à l’intrusion, tous les mots de passe des employés ont
été régénérés sur tous les types d’accès et la firme a mis en place un nouveau VPN
dans une salle sécurisée PCI-DSS avec accès très restreints. Elle a aussi limité la consultation des emails internes aux accès depuis le bureau ou le VPN. Enfin, les mécanismes d’authentification des salariés ont été renforcés et passent sur 3 niveaux de vérification, l’IP Source et le mode de passe – des mécanismes qui existaient déjà – et un Token hardware personnel (YubiKey)
Enfin, OVH a déposé une plainte au pénal auprès des autorités judiciaires.