OVH, qui se présente comme le troisième hébergeur en Europe, a été victime d’un acte de piratage assez sérieux.
« Il s’avère qu’un hackeur a réussi à obtenir les accès sur un compte e-mail d’un de nos administrateurs système à Roubaix », précise Octave Klaba, DG d’OVH qui a publié un message d’information à destination des clients.
« Après nos investigations internes, nous supposons que le hackeur a exploité ces accès pour parvenir à 2 objectifs: récupérer la base de données de nos clients Europe et gagner l’accès sur le système d’installation de serveurs au Canada. »
A priori, de fil en aiguille, le pirate est parvenu à accéder au VPN interne d’un autre employé puis au back-office interne.
OVH a déposé une plainte pénale auprès des autorités judiciaires.
OVH reste discret sur le volume d’informations personnelles subtilisées : nom, prénom, numéro client, l’adresse, ville, pays, téléphone, fax et mot de passe chiffré mais pas les données de cartes bancaires non stockés par le fournisseur de services Internet (noms de domaine, messagerie, hébergement de serveurs, téléphonie IP…)
Même si le chiffrement du mot de passe est « salé » (SHA512), OVH recommande à ses clients de modifier leurs mots de passe.
Le spécialiste de l’hébergement a déjà déployé de nouvelles mesures de sécurité en interne: mots de passe regénérés de tous les employés, mise en place un nouveau VPN dans une salle sécurisée PCI-DSS, consultation des e-mails internes uniquement à partir du bureau/VPN, trois niveaux de vérification (IP source, mot de passe, token hardware personnel)
En plus d’avoir régénéré les mots de passe de tous les employés, OVH a mis en place un nouveau VPN dans une salle sécurisée suivant la norme PCI-DSS composée de 12 règles strictes aidant les entreprises à protéger leurs données.
« En un mot, nous n’avons pas été assez parano et on passe désormais en mode parano supérieur« , proclame Octave Klaba.
—–Quiz—–
—————-
Crédit photo : nasirkhan pour Shutterstock
Microsoft lance Phi-3-mini, un petit modèle de langage (SLM) qui s'adresse aux entreprises ne disposant…
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…