Publié par : Papy40 | 24/07/2013

OVH renforce sa sécurité suite au piratage d’une base de données clients

 

Source : ZDNet

Sécurité : Les jours passent et les intrusions pleuvent. Cette fois-ci, c’est l’hébergeur OVH qui annonce qu’un pirate a réussi à prendre un contrôle administrateur, et à récupérer sa base de clients européenne. La direction annonce un durcissement immédiat des règles de sécurité internes.

Loi des séries : après Apple et Ubuntu, Octave Klaba, le PDG d’OVH, a annoncé sur la page de statut des services de l’hébergeur un incident grave dans la sécurité des bases de données de l’entreprise.

Un intrus est parvenu à s’introduire sur le système et à voler la base des clients européens, affirme-t-il, temporisant toutefois en prévenant qu’aucun mot de passe n’est stocké en clair et que ceux-ci sont "salés".

Pas de risque majeur pour la sécurité a priori, donc, si ce n’est une fuite de données personnelles plus que gênante. Le nom des utilisateurs, leurs identifiants, leurs mots de passe et leurs coordonnées ont été dérobés. Le mot de passe est difficilement déchiffrable, même par bruteforce, "mais c’est possible", rappelle Octave Klaba.

Le domino classique

OVH va donc demander à tous les utilisateurs de changer leur mot de passe dans les prochains jours. L’hébergeur estime que l’intrus a agi dans l’intention de "récupérer la base de données de (ses) clients en Europe" et de "gagner l’accès sur le système d’installation de serveurs au Canada".

Il aurait perpétré son intrusion en obtenant les accès sur un compte email d’un des administrateurs, qui lui a permis d’accéder au VPN interne d’un autre employé, pour finalement "compromettre les accès de l’un des administrateurs système qui s’occupe du backoffice interne".

L’entreprise a immédiatement pris des mesures de réponse, explique son PDG : régénération de tous les mots de passe des employés pour tous leurs accès, mise en place d’un nouveau VPN dans une salle aux accès restreints et sécurisée avec la norme PCI-DSS, suppression de la possibilité pour les employés de consulter leurs emails hors accès interne ou via VPN, et passage à trois niveaux d’identification, avec IP, mot de passe et token hardware personnel (YubiKey).

Dans les prochains mois, promet l’hébergeur, le backoffice sera sécurisé grâce au PCI-DSS. "En un mot, nous n’avons pas été assez paranos et on passe désormais en mode parano supérieur," conclut Octave Klaba, qui annonce également une plainte au pénal.

Publicités

Catégories