Advertisement
Not a member of Pastebin yet?
Sign Up,
it unlocks many cool features!
- Date: Tue, 30 Apr 2013 16:28:54 +0200
- From: oles@ovh.net
- To: hosting@ml.ovh.net
- Subject: [hosting] Securite de notre backoffice
- User-Agent: Mutt/1.5.13 (2006-08-11)
- Bonjour,
- Pour changer le mot de passe de votre identifiant,
- il faut se rendre sur le site d'Ovh puis demander
- ce changement pour un identifiant donné. Un email
- est envoyé à l'adresse email de l'identifiant avec
- un URL unique à cliquer. Cet URL comporte 21 caractères
- générés au hasard. Les 21 caractères sont générés à
- partir de 3 algorithmes random différents qui génèrent
- chacun 7 caractères. Le client qui reçoit l'email
- peut alors cliquer sur l'URL puis récupérer le
- nouveau mot de passe de son identifiant. Un email
- de confirmation lui est envoyé disant qu'un
- changement de mot de passe a eu lieu. Dans tous
- les emails qu'Ovh envoie il y a l'IP de la personne
- qui a fait les démarches.
- C'est une procédure qui a été mis en place
- il y a au moins 7 ans et n'a pas changé depuis.
- Le 26 avril nous avons mis en évidence en
- interne un problème dans la génération de 21
- caractères. Les 2 fonctions random sur 3 que nous
- avons utilisé dans ce code ne générait pas une vraie
- chaîne au hasard. On pouvait demander un changement
- de mot de passe pour un identifiant puis faire un
- brute force trouver l'URL "unique" qui est envoyé
- à l'email de l'identifiant. Le problème a été
- mis en évidence par un dev interne le 26 avril
- à 11:03:14 et il a été fixé à 12:54:13. L'origine
- du problème est lié à la fonction rand() utilisée
- dans cette partie du code qui n'a pas été patchée
- au même niveau que le reste du code lors de
- l'activation de cache d'exécution de script.
- Nous avons remplacé l'ancienne fonction de 3
- chaînes de caractères donnant 21 caractères
- par 2 vraies fonctions random donnant 64 caractères.
- Nous avons en suite lancé les recherches dans
- nos bases de données pour vérifier si la faille
- a été exploité et si oui quand. Pour cela nous
- avons remonté l'historique de changements de mots
- de passe de vos identifiants depuis 3 ans.
- Nous avons en effet l'autorisation de la CNIL
- d'archiver et d'exploiter tous les logs de notre
- backoffice sur 10 ans, justement pour ce genre
- de cas.
- Nous avons retrouvé 3 identifiants avec les
- services actives qui ont eu un changement de
- mot de passe réalisé avec un brute force.
- Dans les 3 cas il s'agit d'une attaque ciblant
- la communauté "bitcoin" qui utilise les services
- chez Ovh. Le hacker semble avoir trouvé la
- faille le 23 avril à 22h00 et a fait pas mal
- de tests pour mettre au point sa méthode
- durant 1H. A 23H00 sa méthode était du point
- et il a hacké le 1er identifiant puis le
- jour suivant les 2 autres identifiants toujours
- de la communauté "bitcoin". Nous avons été
- en contact avec ces clients mais la qualité
- des échanges ne nous ont pas permit d'avoir
- suffisamment d'informations pour mettre en
- évidence une faille chez nous. Grâce à nos
- devs interne et de manière totalement
- indépendante nous avons fixé le problème
- puis seulement nous avons commencé à faire
- le rapport entre la faille qu'on venait de
- fixer et ces 3 clients. Nous avons certainement
- une leçon à tirer sur la manière de dialoguer
- avec de clients dans ce genre de cas.
- Nous avons mis un peu de temps à communiquer
- car nous avons rapidement vu que l'impact était
- très réduit (3 identifiants) et nous avons
- voulu prendre le temps pour tout vérifier en
- profondeur et s'assurer qu'il n'y a que
- 3 clients de la communauté de "bitcoin" qui ont
- été touchés. On a terminé aujourd'hui les recherches
- jusqu'à 3 ans en arrière et on peut déjà en
- conclure qu'il n'y a pas d'autre clients
- impactés. Nous allons néanmoins terminer les
- recherches jusqu'à 10 ans pour trouver les
- éventuels brute force sur l'URL de changement
- de mot de passe, mais la probabilité est nulle.
- Je pense que malgré le faible impacte vis à vis
- de nos clients, on se devait de vous informer
- de cet incident de sécurité que nous avons eu
- à gérer la semaine passée. Nous avons mis en
- place un code-review sur les très anciennes
- parties d'Ovh qui n'ont pas été réécrite depuis
- quelques années afin de bien vérifier qu'il
- n'y a pas d'autres impacts. Nous sommes en
- train de voir comment on peut améliorer la
- communication entre Ovh et les clients dans
- ce genre de cas de figure sachant que 2
- clients sur 3 sont les clients de nos filiales.
- Résumé:
- Oui, nous avons eu une faille de sécurité
- permettant à travers une procédure assez
- complexe incluant un brute force, de changer
- le mot de passe d'un identifiant. On
- conseille aux clients qui ont de services
- sensible de limiter les accès aux manager à
- certaines IP seulement.
- Oui, 3 clients de la communauté "bitcoin"
- ont été impactés par cette faille de sécurité.
- Il est important de lire les emails qu'ovh
- envoie de manière automatique notamment
- des emails de changements de mots de passe
- qui ne sont pas initialisés par vous et les
- emails confirmant le changement de mot de passe.
- Dans ce cas de figure, il ne faut pas hésiter
- de nous appeler sur notre support incident 24/24
- qui va bloquer votre compte le temps de clarifier
- la situation.
- Non, il n'y a pas eu de vol de notre base
- de clients.
- Non, il n'y a pas eu d'impact sur les autres
- clients.
- Nous sommes sincèrement désolés pour les 3
- clients qui ont été impactés et nous les
- invitons à prendre contact avec nos équipes
- commerciales (en français).
- Amicalement
- Octave
Advertisement
Add Comment
Please, Sign In to add comment
Advertisement