OVH acknowledges backoffice security issue

1. Date: Tue, 30 Apr 2013 16:28:54 +0200
2. From: oles@ovh.net
3. To: hosting@ml.ovh.net
4. Subject: [hosting] Securite de notre backoffice
5. User-Agent: Mutt/1.5.13 (2006-08-11)
6.  
7. Bonjour,
8. Pour changer le mot de passe de votre identifiant,
9. il faut se rendre sur le site d'Ovh puis demander
10. ce changement pour un identifiant donné. Un email
11. est envoyé à l'adresse email de l'identifiant avec
12. un URL unique à cliquer. Cet URL comporte 21 caractères
13. générés au hasard. Les 21 caractères sont générés à
14. partir de 3 algorithmes random différents qui génèrent
15. chacun 7 caractères. Le client qui reçoit l'email
16. peut alors cliquer sur l'URL puis récupérer le
17. nouveau mot de passe de son identifiant. Un email
18. de confirmation lui est envoyé disant qu'un
19. changement de mot de passe a eu lieu. Dans tous
20. les emails qu'Ovh envoie il y a l'IP de la personne
21. qui a fait les démarches.
22.  
23. C'est une procédure qui a été mis en place
24. il y a au moins 7 ans et n'a pas changé depuis.
25.  
26. Le 26 avril nous avons mis en évidence en
27. interne un problème dans la génération de 21
28. caractères. Les 2 fonctions random sur 3 que nous
29. avons utilisé dans ce code ne générait pas une vraie
30. chaîne au hasard. On pouvait demander un changement
31. de mot de passe pour un identifiant puis faire un
32. brute force trouver l'URL "unique" qui est envoyé
33. à l'email de l'identifiant. Le problème a été
34. mis en évidence par un dev interne le 26 avril
35. à 11:03:14 et il a été fixé à 12:54:13. L'origine
36. du problème est lié à la fonction rand() utilisée
37. dans cette partie du code qui n'a pas été patchée
38. au même niveau que le reste du code lors de
39. l'activation de cache d'exécution de script.
40. Nous avons remplacé l'ancienne fonction de 3
41. chaînes de caractères donnant 21 caractères
42. par 2 vraies fonctions random donnant 64 caractères.
43.  
44. Nous avons en suite lancé les recherches dans
45. nos bases de données pour vérifier si la faille
46. a été exploité et si oui quand. Pour cela nous
47. avons remonté l'historique de changements de mots
48. de passe de vos identifiants depuis 3 ans.
49. Nous avons en effet l'autorisation de la CNIL
50. d'archiver et d'exploiter tous les logs de notre
51. backoffice sur 10 ans, justement pour ce genre
52. de cas.
53.  
54. Nous avons retrouvé 3 identifiants avec les
55. services actives qui ont eu un changement de
56. mot de passe réalisé avec un brute force.
57. Dans les 3 cas il s'agit d'une attaque ciblant
58. la communauté "bitcoin" qui utilise les services
59. chez Ovh. Le hacker semble avoir trouvé la
60. faille le 23 avril à 22h00 et a fait pas mal
61. de tests pour mettre au point sa méthode
62. durant 1H. A 23H00 sa méthode était du point
63. et il a hacké le 1er identifiant puis le
64. jour suivant les 2 autres identifiants toujours
65. de la communauté "bitcoin". Nous avons été
66. en contact avec ces clients mais la qualité
67. des échanges ne nous ont pas permit d'avoir
68. suffisamment d'informations pour mettre en
69. évidence une faille chez nous. Grâce à nos
70. devs interne et de manière totalement
71. indépendante nous avons fixé le problème
72. puis seulement nous avons commencé à faire
73. le rapport entre la faille qu'on venait de
74. fixer et ces 3 clients. Nous avons certainement
75. une leçon à tirer sur la manière de dialoguer
76. avec de clients dans ce genre de cas.
77.  
78. Nous avons mis un peu de temps à communiquer
79. car nous avons rapidement vu que l'impact était
80. très réduit (3 identifiants) et nous avons
81. voulu prendre le temps pour tout vérifier en
82. profondeur et s'assurer qu'il n'y a que
83. 3 clients de la communauté de "bitcoin" qui ont
84. été touchés. On a terminé aujourd'hui les recherches
85. jusqu'à 3 ans en arrière et on peut déjà en
86. conclure qu'il n'y a pas d'autre clients
87. impactés. Nous allons néanmoins terminer les
88. recherches jusqu'à 10 ans pour trouver les
89. éventuels brute force sur l'URL de changement
90. de mot de passe, mais la probabilité est nulle.
91.  
92. Je pense que malgré le faible impacte vis à vis
93. de nos clients, on se devait de vous informer
94. de cet incident de sécurité que nous avons eu
95. à gérer la semaine passée. Nous avons mis en
96. place un code-review sur les très anciennes
97. parties d'Ovh qui n'ont pas été réécrite depuis
98. quelques années afin de bien vérifier qu'il
99. n'y a pas d'autres impacts. Nous sommes en
100. train de voir comment on peut améliorer la
101. communication entre Ovh et les clients dans
102. ce genre de cas de figure sachant que 2
103. clients sur 3 sont les clients de nos filiales.
104.  
105. Résumé:
106. Oui, nous avons eu une faille de sécurité
107. permettant à travers une procédure assez
108. complexe incluant un brute force, de changer
109. le mot de passe d'un identifiant. On
110. conseille aux clients qui ont de services
111. sensible de limiter les accès aux manager à
112. certaines IP seulement.
113.  
114. Oui, 3 clients de la communauté "bitcoin"
115. ont été impactés par cette faille de sécurité.
116. Il est important de lire les emails qu'ovh
117. envoie de manière automatique notamment
118. des emails de changements de mots de passe
119. qui ne sont pas initialisés par vous et les
120. emails confirmant le changement de mot de passe.
121. Dans ce cas de figure, il ne faut pas hésiter
122. de nous appeler sur notre support incident 24/24
123. qui va bloquer votre compte le temps de clarifier
124. la situation.
125.  
126. Non, il n'y a pas eu de vol de notre base
127. de clients.
128.  
129. Non, il n'y a pas eu d'impact sur les autres
130. clients.
131.  
132. Nous sommes sincèrement désolés pour les 3
133. clients qui ont été impactés et nous les
134. invitons à prendre contact avec nos équipes
135. commerciales (en français).
136.  
137. Amicalement
138. Octave