Bonjour,Pour changer le mot de passe de votre identifiant,il faut se rendre

1. Bonjour,
2. Pour changer le mot de passe de votre identifiant,
3. il faut se rendre sur le site d'Ovh puis demander
4. ce changement pour un identifiant donné. Un email
5. est envoyé à l'adresse email de l'identifiant avec
6. un URL unique à cliquer. Cet URL comporte 21 caractères
7. générés au hasard. Les 21 caractères sont générés à
8. partir de 3 algorithmes random différents qui génèrent
9. chacun 7 caractères. Le client qui reçoit l'email
10. peut alors cliquer sur l'URL puis récupérer le
11. nouveau mot de passe de son identifiant. Un email
12. de confirmation lui est envoyé disant qu'un
13. changement de mot de passe a eu lieu. Dans tous
14. les emails qu'Ovh envoie il y a l'IP de la personne
15. qui a fait les démarches.
16.  
17. C'est une procédure qui a été mis en place
18. il y a au moins 7 ans et n'a pas changé depuis.
19.  
20. Le 26 avril nous avons mis en évidence en
21. interne un problème dans la génération de 21
22. caractères. Les 2 fonctions random sur 3 que nous
23. avons utilisé dans ce code ne générait pas une vraie
24. chaîne au hasard. On pouvait demander un changement
25. de mot de passe pour un identifiant puis faire un
26. brute force trouver l'URL "unique" qui est envoyé
27. à l'email de l'identifiant. Le problème a été
28. mis en évidence par un dev interne le 26 avril
29. à 11:03:14 et il a été fixé à 12:54:13. L'origine
30. du problème est lié à la fonction rand() utilisée
31. dans cette partie du code qui n'a pas été patchée
32. au même niveau que le reste du code lors de
33. l'activation de cache d'exécution de script.
34. Nous avons remplacé l'ancienne fonction de 3
35. chaînes de caractères donnant 21 caractères
36. par 2 vraies fonctions random donnant 64 caractères.
37.  
38. Nous avons en suite lancé les recherches dans
39. nos bases de données pour vérifier si la faille
40. a été exploité et si oui quand. Pour cela nous
41. avons remonté l'historique de changements de mots
42. de passe de vos identifiants depuis 3 ans.
43. Nous avons en effet l'autorisation de la CNIL
44. d'archiver et d'exploiter tous les logs de notre
45. backoffice sur 10 ans, justement pour ce genre
46. de cas.
47.  
48. Nous avons retrouvé 3 identifiants avec les
49. services actives qui ont eu un changement de
50. mot de passe réalisé avec un brute force.
51. Dans les 3 cas il s'agit d'une attaque ciblant
52. la communauté "bitcoin" qui utilise les services
53. chez Ovh. Le hacker semble avoir trouvé la
54. faille le 23 avril à 22h00 et a fait pas mal
55. de tests pour mettre au point sa méthode
56. durant 1H. A 23H00 sa méthode était du point
57. et il a hacké le 1er identifiant puis le
58. jour suivant les 2 autres identifiants toujours
59. de la communauté "bitcoin". Nous avons été
60. en contact avec ces clients mais la qualité
61. des échanges ne nous ont pas permit d'avoir
62. suffisamment d'informations pour mettre en
63. évidence une faille chez nous. Grâce à nos
64. devs interne et de manière totalement
65. indépendante nous avons fixé le problème
66. puis seulement nous avons commencé à faire
67. le rapport entre la faille qu'on venait de
68. fixer et ces 3 clients. Nous avons certainement
69. une leçon à tirer sur la manière de dialoguer
70. avec de clients dans ce genre de cas.
71.  
72. Nous avons mis un peu de temps à communiquer
73. car nous avons rapidement vu que l'impact était
74. très réduit (3 identifiants) et nous avons
75. voulu prendre le temps pour tout vérifier en
76. profondeur et s'assurer qu'il n'y a que
77. 3 clients de la communauté de "bitcoin" qui ont
78. été touchés. On a terminé aujourd'hui les recherches
79. jusqu'à 3 ans en arrière et on peut déjà en
80. conclure qu'il n'y a pas d'autre clients
81. impactés. Nous allons néanmoins terminer les
82. recherches jusqu'à 10 ans pour trouver les
83. éventuels brute force sur l'URL de changement
84. de mot de passe, mais la probabilité est nulle.
85.  
86. Je pense que malgré le faible impacte vis à vis
87. de nos clients, on se devait de vous informer
88. de cet incident de sécurité que nous avons eu
89. à gérer la semaine passée. Nous avons mis en
90. place un code-review sur les très anciennes
91. parties d'Ovh qui n'ont pas été réécrite depuis
92. quelques années afin de bien vérifier qu'il
93. n'y a pas d'autres impacts. Nous sommes en
94. train de voir comment on peut améliorer la
95. communication entre Ovh et les clients dans
96. ce genre de cas de figure sachant que 2
97. clients sur 3 sont les clients de nos filiales.
98.  
99. Résumé:
100. Oui, nous avons eu une faille de sécurité
101. permettant à travers une procédure assez
102. complexe incluant un brute force, de changer
103. le mot de passe d'un identifiant. On
104. conseille aux clients qui ont de services
105. sensible de limiter les accès aux manager à
106. certaines IP seulement.
107.  
108. Oui, 3 clients de la communauté "bitcoin"
109. ont été impactés par cette faille de sécurité.
110. Il est important de lire les emails qu'ovh
111. envoie de manière automatique notamment
112. des emails de changements de mots de passe
113. qui ne sont pas initialisés par vous et les
114. emails confirmant le changement de mot de passe.
115. Dans ce cas de figure, il ne faut pas hésiter
116. de nous appeler sur notre support incident 24/24
117. qui va bloquer votre compte le temps de clarifier
118. la situation.
119.  
120. Non, il n'y a pas eu de vol de notre base
121. de clients.
122.  
123. Non, il n'y a pas eu d'impact sur les autres
124. clients.
125.  
126. Nous sommes sincèrement désolés pour les 3
127. clients qui ont été impactés et nous les
128. invitons à prendre contact avec nos équipes
129. commerciales (en français).
130.  
131. Amicalement
132. Octave