We are in the process of migrating this forum. A new space will be available soon. We are sorry for the inconvenience.

securite de notre backoffice


oles@ovh.net
30.04.13, 16:30
Bonjour,
Pour changer le mot de passe de votre identifiant,
il faut se rendre sur le site d'Ovh puis demander
ce changement pour un identifiant donné. Un email
est envoyé à l'adresse email de l'identifiant avec
un URL unique à cliquer. Cet URL comporte 21 caractères
générés au hasard. Les 21 caractères sont générés à
partir de 3 algorithmes random différents qui génèrent
chacun 7 caractères. Le client qui reçoit l'email
peut alors cliquer sur l'URL puis récupérer le
nouveau mot de passe de son identifiant. Un email
de confirmation lui est envoyé disant qu'un
changement de mot de passe a eu lieu. Dans tous
les emails qu'Ovh envoie il y a l'IP de la personne
qui a fait les démarches.

C'est une procédure qui a été mis en place
il y a au moins 7 ans et n'a pas changé depuis.

Le 26 avril nous avons mis en évidence en
interne un problème dans la génération de 21
caractères. Les 2 fonctions random sur 3 que nous
avons utilisé dans ce code ne générait pas une vraie
chaîne au hasard. On pouvait demander un changement
de mot de passe pour un identifiant puis faire un
brute force trouver l'URL "unique" qui est envoyé
à l'email de l'identifiant. Le problème a été
mis en évidence par un dev interne le 26 avril
à 11:03:14 et il a été fixé à 12:54:13. L'origine
du problème est lié à la fonction rand() utilisée
dans cette partie du code qui n'a pas été patchée
au même niveau que le reste du code lors de
l'activation de cache d'exécution de script.
Nous avons remplacé l'ancienne fonction de 3
chaînes de caractères donnant 21 caractères
par 2 vraies fonctions random donnant 64 caractères.

Nous avons en suite lancé les recherches dans
nos bases de données pour vérifier si la faille
a été exploité et si oui quand. Pour cela nous
avons remonté l'historique de changements de mots
de passe de vos identifiants depuis 3 ans.
Nous avons en effet l'autorisation de la CNIL
d'archiver et d'exploiter tous les logs de notre
backoffice sur 10 ans, justement pour ce genre
de cas.

Nous avons retrouvé 3 identifiants avec les
services actives qui ont eu un changement de
mot de passe réalisé avec un brute force.
Dans les 3 cas il s'agit d'une attaque ciblant
la communauté "bitcoin" qui utilise les services
chez Ovh. Le hacker semble avoir trouvé la
faille le 23 avril à 22h00 et a fait pas mal
de tests pour mettre au point sa méthode
durant 1H. A 23H00 sa méthode était du point
et il a hacké le 1er identifiant puis le
jour suivant les 2 autres identifiants toujours
de la communauté "bitcoin". Nous avons été
en contact avec ces clients mais la qualité
des échanges ne nous ont pas permit d'avoir
suffisamment d'informations pour mettre en
évidence une faille chez nous. Grâce à nos
devs interne et de manière totalement
indépendante nous avons fixé le problème
puis seulement nous avons commencé à faire
le rapport entre la faille qu'on venait de
fixer et ces 3 clients. Nous avons certainement
une leçon à tirer sur la manière de dialoguer
avec de clients dans ce genre de cas.

Nous avons mis un peu de temps à communiquer
car nous avons rapidement vu que l'impact était
très réduit (3 identifiants) et nous avons
voulu prendre le temps pour tout vérifier en
profondeur et s'assurer qu'il n'y a que
3 clients de la communauté de "bitcoin" qui ont
été touchés. On a terminé aujourd'hui les recherches
jusqu'à 3 ans en arrière et on peut déjà en
conclure qu'il n'y a pas d'autre clients
impactés. Nous allons néanmoins terminer les
recherches jusqu'à 10 ans pour trouver les
éventuels brute force sur l'URL de changement
de mot de passe, mais la probabilité est nulle.

Je pense que malgré le faible impacte vis à vis
de nos clients, on se devait de vous informer
de cet incident de sécurité que nous avons eu
à gérer la semaine passée. Nous avons mis en
place un code-review sur les très anciennes
parties d'Ovh qui n'ont pas été réécrite depuis
quelques années afin de bien vérifier qu'il
n'y a pas d'autres impacts. Nous sommes en
train de voir comment on peut améliorer la
communication entre Ovh et les clients dans
ce genre de cas de figure sachant que 2
clients sur 3 sont les clients de nos filiales.

Résumé:
Oui, nous avons eu une faille de sécurité
permettant à travers une procédure assez
complexe incluant un brute force, de changer
le mot de passe d'un identifiant. On
conseille aux clients qui ont de services
sensible de limiter les accès aux manager à
certaines IP seulement.

Oui, 3 clients de la communauté "bitcoin"
ont été impactés par cette faille de sécurité.
Il est important de lire les emails qu'ovh
envoie de manière automatique notamment
des emails de changements de mots de passe
qui ne sont pas initialisés par vous et les
emails confirmant le changement de mot de passe.
Dans ce cas de figure, il ne faut pas hésiter
de nous appeler sur notre support incident 24/24
qui va bloquer votre compte le temps de clarifier
la situation.

Non, il n'y a pas eu de vol de notre base
de clients.

Non, il n'y a pas eu d'impact sur les autres
clients.

Nous sommes sincèrement désolés pour les 3
clients qui ont été impactés et nous les
invitons à prendre contact avec nos équipes
commerciales (en français).

Amicalement
Octave