OVH victime d'un piratage de sa base de données clients européenne
L'hébergeur a averti ses clients qu'un hacker avait réussi à copier la base de données des clients en Europe et à accéder au système de livraison de VM au Canada. OVH demande donc à ses clients de modifier leurs mots de passe.
Après Apple qui a vu son site pour les développeurs compromis, c'est au tour d'OVH de faire état d'un piratage d'importance. Hier, Octave Klaba, fondateur d'OVH, a publié un incident de sécurité expliquant, « il y a quelques jours, nous avons découvert que la sécurité de notre réseau interne dans nos bureaux à Roubaix a été compromise ». Il détaille en toute transparence le modus operandi du hacker, « il a réussi à obtenir les accès sur un compte email d'un de nos administrateurs système. Grâce à cet accès email, il a obtenu l'accès sur le VPN interne d'un autre employé. Puis grâce à cet accès VPN, il a fini par compromettre les accès de l'un des administrateurs système qui s'occupe
du backoffice interne ».
Après le comment, le fondateur répond à la question qu'est ce qui a été compromis ? Deux choses, la base de données clients en Europe et l'accès à l'installation des serveurs au Canada. Sur le premier, l'hébergeur indique qu'elle comprend « les informations personnelles de clients: le nom, le prénom, le nic, l'adresse, la ville, le pays, le téléphone, le fax et le mot de passe chiffré ». Ce dernier peut être craqué et donc OVH recommande à ses clients d'en changer. Les données bancaires ne sont pas concernées, car elles ne sont pas stockées chez OVH. L'autre compromission sur la livraison des serveurs au Canada comporte un risque « si le client n'avait pas retiré notre clé SSH du serveur,
le hackeur aurait pu se connecter à partir de notre système pour récupérer le mot de passe enregistré dans le fichier .p ».
Pour Octave Klaba ce piratage est aussi l'occasion de réviser la politique de sécurité de l'hébergeur. « Nous n'avons pas été assez parano et on passe désormais en mode parano supérieur », souligne le dirigeant. Il indique que « le backoffice passera dans les prochains mois sous la norme PCI-DSS qui nous permettra de garantir que le cas d'incident lié à un hack précis sur les personnes précises
il n'y ait pas d'impact sur nos bases de données ». En attendant, OVH a déposé une plainte au pénal sur cette affaire.