OVH Community, votre nouvel espace communautaire.

Piratage de manager OVH, à qui la faute ?


am63
03/04/2014, 13h10
Citation Envoyé par fritz2cat
Je pencherais aussi pour la faille de votre PC (ou un de vos PC) utilisé(s) pour vous connecter au manager, qui serait infecté avec un keylogger.
Dans les mails envoyés par OVH vous avez toutes les adresses IP des connexions établies au manager.
Quelle était l'adresse IP de l'attaquant ?

Le support OVH a raison en vous invitant à aller voir les logs d'accès au FTP.

Au lieu de crier au "foutage de gueule" je trouve que les réponses de OVH sont pertinentes, et si vous trouvez qu'ils se répètent parfois, c'est parce que c'était nécessaire.

Heureusement que vous ayez pu reprendre le contrôle sur le manager. Déjà avec 10 caractères "mixed-case + chiffres + caractères spéciaux" il faudrait déjà une vie pour réussir une attaque en bruteforce sur un site web.

Envisagez aussi que le pirate puisse être en train de lire vos mails à votre insu: ceci peut se faire en pop3 ou en imap sans les effacer du serveur.
Enfin une réponse qui pose les bonnes questions et qui fait écouter un autre refrain que le cassage systématique d'Ovh dès qu'il y a une mouche dans la soupe...

ddtddt
03/04/2014, 12h30
Beaucoup de chose ont été dite le dernier piratage d'un de mes clients de sa messagerie c'est par l'intermédiaire d'une webcam qui lui filmait ces doigts. Donc attention a tout ce que tu fais.
Est ce que tu as déjà tapé ton mots de passe dans un lieu public ...

fritz2cat
03/04/2014, 11h38
Je pencherais aussi pour la faille de votre PC (ou un de vos PC) utilisé(s) pour vous connecter au manager, qui serait infecté avec un keylogger.
Dans les mails envoyés par OVH vous avez toutes les adresses IP des connexions établies au manager.
Quelle était l'adresse IP de l'attaquant ?

Le support OVH a raison en vous invitant à aller voir les logs d'accès au FTP.

Au lieu de crier au "foutage de gueule" je trouve que les réponses de OVH sont pertinentes, et si vous trouvez qu'ils se répètent parfois, c'est parce que c'était nécessaire.

Heureusement que vous ayez pu reprendre le contrôle sur le manager. Déjà avec 10 caractères "mixed-case + chiffres + caractères spéciaux" il faudrait déjà une vie pour réussir une attaque en bruteforce sur un site web.

Envisagez aussi que le pirate puisse être en train de lire vos mails à votre insu: ceci peut se faire en pop3 ou en imap sans les effacer du serveur.

Nowwhat
03/04/2014, 11h37
Bonjour,

Ok, le 'type ' a eu accès à ton Manager.
Il peut changer le mot de passe FTP - et accéder à ton hébergement. Changer des fichiers, voir pire: envoyer 1000 mails à partir de ton compte mail de ton hébergement.
Mais aucun soucis jusqu'à là; c'est pour ça que OVH possède des sauvegardes .... c'est pour ça que tu possède des sauvegardes.
Le retour vers le normal est simple et rapide.

Le type - il est con pour qu'il a même essayé de le faire - ne peut changer le mot de passe Manager ou un, ou deux des tes adresses mail présent dans le Manager, car une confirmation sera demandé par mail, le mail en place en ce moment - le mail que seulement TOI puisse accéder .....

Reste à comprendre: comment il a eu le mot de passe de ton manager d'OVH ..... ??
Si le type a àccès à la base des données d'OVH, il possède les 950 000 mot de passe de 1350000 clients - de plus, il saura choisir les victimes potentielles pour trouver des serveurs à la pelle - des données sensibles - etc etc.
Pourquoi 'hacker' un petit hébergement de quelques euros ?? Quel intérêt ?
Si le type a accès à la base des données d'OVH, il y aura des dizaines, voir milliers des comptes hacké par jour .... quelque chose qu'OVH ne pourrait cacher. MediaPart a déjà inclus dans son plan marketing l’entreprise OVH/Oles comme candidate 'prometteur'

Reste le cas, valable 99,99 % - sachant que 3 ordis sur 10 est trojanisé en France: tous ce que tu tape sur un des tes PC's est copié ailleurs. Pas que le nic-handle d'OVH, pas que tes numéros de CB + date de validité + code sécurité, aussi tes mails, messages, chats, tout, soit quelques kilo octets par jour. Le tout est filtré et vendu par CD plein. Pas cher en plus.

Attention: je ne dit pas que 'OVH' est parfait coté sécurité, mais dès que quelque chose 'fuit' chez eux, t'auras l'info sur le JT de 20h00 (et Twiiter, et ici, etc ...) - garantie.
T'as vu quelque chose ??
Non.

Gaston_Phone
03/04/2014, 10h59
Citation Envoyé par Abazada
- OVH ne stocke pas les mots de passe. Il le faut pourtant pour changer de mot de passe.
OVH ne stocke peut-être pas les les mots de passe en clair.
Mais OVH stocke certainement les mots de passe une fois codés (MD5, etc.).

Daweb
03/04/2014, 10h46
Moi je conseillerai quand même dans le doute de contrôler ton PC
Deux précautions valent mieux qu'une. Par ce que effectivement une faille de ton logiciel FTP permet bien souvent de récuperer le mot de passe, ou bien un keyloger... ou bien quelqu'un qui a piraté ta boite email.

Edit : je précise que j'en vois très souvent des PC avec des keyloggers, tellement discrets qu'on imagine même pas leur présence !

com3elles
03/04/2014, 10h07
Abaza : le mot de passe du ftp a été modifié après intrusion dans le manager dont le mot de passe avait été lui-même modifié. C'est justement parce que j'ai reçu des mails de notification du manager que j'ai été au courant.

Abazada
03/04/2014, 09h27
Citation Envoyé par hyperion66
A mon avis, si quelqu'un a réussi à modifier le mot de passe de 19 caractères de votre manager,
c'est clairement un défaut d'OVH.
C'est une conclusion bien hâtive...
- Il y a des centaines de milliers de clients utilisant ce manager OVH, s'il y avait des failles sérieuses ça se verrait et se saurait!
- Le piratage qu'a subit OVH en 2013 ne concernait pas le manager; quelqu'un avait réussi à obtenir l'accès privilégié d'un employé d'OVH. Belle prouesse technique au passage, mais je doute qu'il puisse rééditer cet exploit suite à la réaction d'Oles/OVH.
- OVH ne stocke pas les mots de passe. Il le faut pourtant pour changer de mot de passe.
- Les rares "soucis manager" dont j'ai entendu parlé avaient tous comme source un PC infecté par un malware capable de - ou bien lire tout ce qui est tapé au clavier - ou bien permettre l'accès à la messagerie mail de l'utilisateur.

Il n'y a normalement que le user, sa messagerie (et son PC?) qui connaissent le mot de passe. C'est là qu'il faut chercher la faille.

Edit: A relire le 1er message, il semble que seul l'accès FTP ait été modifié. C'est très différent, FTP n'étant pas spécialement secure et étant connu pour les nombreux malwares qui savent exploiter les failles de FileZilla par exemple... . Là encore la cause 1ère est un PC infecté...

com3elles
02/04/2014, 22h56
Citation Envoyé par Daniel60
C"est bien ce qu'il reste à prouver.
Il faudrait faire un audit de la (des) machine(s) locale pour voir si aucun malware ou keylogger ne c'est introduit.
A moins que le NSA...
N'est-ce pas OVH qui s'est fait piraté en Juillet dernier ? C'est suite à ce piratage que j'ai créé un mot de passe bien sécurisé. Bien sûr, je vais re-vérifier l'état de toutes mes machines. Mais reconnaissez que les réponses d'OVH laissent perplexe par leur niveau "à côté de la plaque", non ?

Daniel60
02/04/2014, 19h07
Citation Envoyé par hyperion66
Si vous seul détenez ce mot de passe et qu'il n'est noté nulle part
C"est bien ce qu'il reste à prouver.
Il faudrait faire un audit de la (des) machine(s) locale pour voir si aucun malware ou keylogger ne c'est introduit.
A moins que le NSA...

hyperion66
02/04/2014, 18h09
A mon avis, si quelqu'un a réussi à modifier le mot de passe de 19 caractères de votre manager, c'est clairement un défaut d'OVH. De mon côté, j'ai "seulement" 17 caractères dans mon mot de passe.
Ceux qui n'ont donc que 6 ou 7 caractères ont clairement de quoi s'inquiéter non ?
Quand OVH dit "Nous vous signalons que nos serveurs sont bien sécurisés", c'est bien la preuve que non. Si vous seul détenez ce mot de passe et qu'il n'est noté nulle part, que pouvez-vous faire de plus ?

com3elles
02/04/2014, 15h05
Bonjour,

cliente OVH depuis plusieurs années, je n'hésitais pas à recommander leurs services autour de moi : clients, collègues...
Le service client me convenait, aucun soucis à signaler, jusqu'à aujourd'hui...

Les faits :
le 22 avril vers 18h, je relève mes mails et constate que j'ai reçu 3 mails d'OVH : tentative de changement de mot de passe du manager, modification (réussie) du mot de passe ftp d'un de mes hébergement (le plus important) et tentative (ratée) de modification de l'adresse e-mail principale... le tout aux alentours de 14h
Gloups ! Je demande à mon associée si c'est elle... non ! Je modifie fissa les mots de passe du ftp et du manager et notifie OVH :
je viens de changer les mot de passe de notre accès au manager ainsi qu'au ftp de xxx.com suite à une tentative de piratage.
J'ai reçu des mails de votre part en début d'après-midi et ne les ai découvert que maintenant (samedi occupé). J'ai bien peur que des dégâts aient été commis.
Pouvez-vous vérifier ?
Je tiens à signaler que j'avais renforcé le mot de passe de notre manager (19 caractères dont chiffres, lettres et #) suite à l'annonce des tentatives de piratage d'il y a quelques mois.
La personne a bien réussi à changer le mot de passe du manager et ensuite du ftp.


Première réponse d'OVH 4 jours après !!!! Super la réactivité.

Tout d'abord, nous nous excusons de la durée de la réponse.
A notre niveau, nous ne sommes pas en mesure de vous transmettre l'identité exacte de la personne qui a réussi la connexion. Seule l'adresse IP est disponible.
Nous vous conseillons de vérifier que vous êtes le seul à avoir accès à l'adresse mail associée à votre nic-handle car tous les mots de passe sont envoyés à cette adresse mail.

Un peu à côté de la plaque, non ?
Moi
Je vous confirme que je suis bien la seule à avoir l'accès à cette adresse e-mail. L'objet de mon message n'était pas d'obtenir le nom du hacker mais d'obtenir la garantie de votre part qu'il n'y a pas eu de dégâts sur les sites hébergés sur le compte xxx.com dans le laps de temps séparant cette tentative réussi de piratage et le moment où j'ai pu faire les changements de mots de passe (environ 4heures)

OVH
Vous pouvez consulter vos logs via le lien ci-dessous afin de vérifier que des modifications non pas été effectuées sur votre espace ftp:https://logs.ovh.net/xxx.com/
Utilisez votre nic-handle et mot de passe de connexion à vos statistiques afin de visualiser vos logs.
Concernant votre Manager V3, pour toute modification effectuée, un mail vous est envoyé.
Si vous n'avez pas reçu de mail, cela signifie qu'aucune modification n'a été effectuée sur votre espace client.

Moi (qui commence sérieusement à m'agacer)
Relisez mon message svp : j'ai bien reçu un mail d'OVH et le mot de passe de mon manager + celui du ftp de com3elles.com avaient été modifiés par le pirate.
J'estime que si le mot de passe de mon manager a été piraté alors qu'il était correctement sécurisé c'est qu'il y a une faille dans votre système. Je vous prie donc de vérifier que tout est en ordre car cela relève à mon avis de votre responsabilité.

OVH
Nous vous signalons que nos serveurs sont bien sécurisés et comme nous vous l'avons indiqué, le souci doit provenir de votre coté.
Merci de vérifier que votre compte est bien sécurisé (saisissez des mots de passe bien sécurisés, avec une combinaison de lettres et chiffres).

Moi (pensant vraiment à du foutage de gueule)
Comme je vous l'indiquais, mon mot de passe du manager était PARFAITEMENT sécurisé : 19 caractères mélangeant chiffres et lettres + 1 caractère spécial.
Soutenez-vous après cela encore que le souci provient de notre côté ?

Qu'en pensez-vous ? Ce mot de passe n'est stocké que dans ma tête. 19 caractères mélangeant chiffres et lettres + 1 caractère spécial = pas sécurisé ?