OVH Piraté : une « négligence » dans la maintenance a mené à une intrusion dans les systèmes du premier hébergeur européen.

 

C’est la deuxième fois que OVH se fait pirater. La première, en 2015, suite à un backdoor qui avait permis au pirate de récupérer les identifiants des clients qui se connectaient.

Aujourd’hui il s’agit de « négligences », plusieurs serveur qui n’étaient plus utilisés n’avaient pas été coupés.

Monsieur Klaba annonce que  » lundi 20 février, l’équipe SOC a reçu des alertes signalant des tentatives de connexion sur nos systèmes internes à partir de l’ancien serveur qui hébergeait l’ancien forum d’OVH ». Soit le même serveur qui avait déjà été piraté en 2015.  « Normalement ce serveur aurait dû être arrêté depuis, mais il est resté allumé ».

 

Pour y accéder le pirate est passé par un ancien serveur de bordure b10 (qui se trouve dans le réseau interne d’OVH et qui est interconnecté avec Internet). Lui aussi était censé être à la retraite depuis maintenant plusieurs années suite à une réorganisation du réseau d’OVH. Il « aurait dû être coupé ».

Après avoir passé plusieurs semaines sur ce serveur b10 (au moins trois), l’intru « aurait probablement craqué un mot de passe sur le b10 (accidentellement laissé dans /etc/shadow) et ce même mot de passe aurait fonctionné sur l’ancien serveur du forum »

Octave Klaba précise que « Nous n’utilisons plus de mots de passe depuis plusieurs années, mais visiblement ces deux vieux serveurs n’ont pas été correctement nettoyés »

 

Bien les que investigations continuent, il semble que le hacker n’ai pas réussi à accéder à d’autres serveurs :

« Aucun accès sur les données sensibles n’a été trouvé. Aucun bastion n’a été compromis. Aucune clé privée n’a été dérobée »