• STATISTIQUES
  • Il y a eu un total de 0 membres et 32503 visiteurs sur le site dans les dernières 24h pour un total de 32 503 personnes!
    Membres: 2 605
    Discussions: 3 579
    Messages: 32 816
    Tutoriels: 78
    Téléchargements: 38
    Sites dans l'annuaire: 58


  • ANNUAIRE
  • [EN] This is legal
    Basic: 10, Realistic: 5, Programming: 1, Bonus: 11, SQL: 2, Encryption: 6, Application: 4, User Contributed: 3
    Challenges
    [EN] w3challs
    Ce site propose différents types de défis informatiques: piratage, craquage, cryptographie, stég...
    Hacking
    [FR] µContest
    µContest est un site de challenges de programmation, c'est à dire qu'il propose des épreu...
    Hacking
    [FR] NewbieContest
    Nous vous proposons une série de challenges regroupant plusieurs domaines allant de l'exploitation de fail...
    Hacking
    [FR] Secuser
    Actualité de la sécurité informatique, fiches virus et hoax, alertes par email, antivirus gratui...
    Hacking
    [EN] Defcon
    Lancé en 1992 par Dark Tangent, DEFCON est la plus ancienne et la plus grande conférence underground de...
    Hacking
    [FR] InfoMirmo
    Apprentissage de l'informatique par l'intermédiaire de challenges de sécurité. Venez app...
    Hacking

  • DONATION
  • Si vous avez trouvé ce site internet utile, nous vous invitons à nous faire un don du montant de votre choix via Paypal. Ce don servira à financer notre hébergement.

    MERCI!




Note de ce sujet :
  • Moyenne : 0 (0 vote(s))
  • 1
  • 2
  • 3
  • 4
  • 5
De La Sécurité informatique, ou le récit du dernier pwnage en date chez OVH
22-07-2013, 18h00 (Modification du message : 22-07-2013, 18h05 par gruik.)
Message : #1
gruik Hors ligne
gouteur de savon
*



Messages : 757
Sujets : 44
Points: 482
Inscription : Oct 2012
De La Sécurité informatique, ou le récit du dernier pwnage en date chez OVH
j'ai vu passer ce lien il y a quelque minutes heures : http://travaux.ovh.net/?do=details&id=8998

avis à tous les HACKERS et autres warlordz en herbe, vous qui ne rêvez que de gloire et de femmes lassives à vos pieds tandis que leurs maris vantent votre skill immodéré, voici donc un bel exemple de comment ca se passe dans la vie réelle chez les w8h8 ("whitehats", pour ceux du fond)

évidement il faut savoir lire entre les lignes, comme souvent et comme souvent c'est un exercice ô combien difficile pour les jeunes bovins que nous sommes, on nous explique donc que le H4ck3R (le vilain) a réussi à pirater la boite mail d'un admin système OVH, de là déjà les mieux plus calibrés d'entre vous commencent je le vois à cogiter ferme, ça veut dire que l'attaquant a du bien préparer son coup, mener sa phase préliminaire de récolte d'infos sur une période possiblement plus longue que le simple "tiain é ci je meu tapé www3-6.disney.com/admin lol ?" suivi d'un nmap, on peut également en déduire que le gars est pas un branquignole complet pour monter ce type d'attaque, c'est qu'il a à la fois des compétences techniques, mais aussi une certaine intelligence dans ce domaine et de la suite dans les idées, ce que confirme la suite dans laquelle on apprend que depuis ce mail il a réussi à accéder le vpn perso de l'admin, de là il a réussi a compromettre un autre admin responsable du backoffice etc.
notez qu'à ce stade, si vous ne voyez toujours pas la beauté de la chose vous avez 2 choix : vous arretez de troller désormais et vous bossez 2x plus votre HTML/CSS et son copain C/C++, soit vous vous mettez au tricot

du point de vue des w8h8, on peut raisonnablement penser que ça doit être la guerre chez eux, les sysadmins avec leur fail2ban vengeur et le tripwire vindicatif prêt à en découdre, la cellule sécu portée à ébullition et le RSSI en mode caca mou, un incident unique pour les remuer tous et dans les ténèbres les lier, il a du s'en dire des choses interessantes, tout ce que nous autres pauvres hères pouvons lire c'est que désormais chaque employé va avoir son propre dongle crypto pour accèder au S.I. d'une part, et quelques spéculations sur les objectifs soupçonnés du vilain, en l'occurence la base de données clients europe (aka piratage indus en bonne et due forme), soit rebondir a nouveau vers le serveur de livraison canadien, avec l'explication du risque qui en est donnée c'est à dire que le pirate ai dès lors accès à l'ensemble des serveurs dédiés OVH, jolies perspectives que ce soit pour un état ou une "cyber-mafia" quelconque (mais est-ce que ça existe vraiment ?)

d'un point de vue technique on apprend néanmoins que les passwords chez eux sont stockés en sha512 salted, ce qui est plutôt très bien (qui peut en dire autant ? dans sa boite ou sur sa propre machine perso ? hein comment ça on est toujours au md5 sur la plupart des applis ?), même si (...) empiriquement ça reste possible à casser, même si en pratique même md5 ça peut s’avérer encore très difficile et laborieux pour peu qu'on ait la bonne stratégie de mots de passe derrière etc., il n’empêche que ça rassure énormément le quidam moyen, et le client encore plus évidement
et par là enfin on en arrive à la communication, oui car le w8h8 communique, ça fait partie de ses prérogatives de w8h8 de mettre de l'ordre dans le SI, dire aux totos vengeurs sur quoi ils doivent mettre l'accent pour plus que ça se reproduise, et rassurer le client, ici OVH rassure l'internaute directement comme à son habitude, y compris Mme Michu à coups de "on a eu un souci, on s'en est rendu compte, c'est maîtrisé on gère, et on ne va pas en rester là on va pas seulement boucher les trous on va aussi mettre des pointes sur les créneaux, aménager des meurtrières et creuser des douves autour comme spécifié par la norme ISO-1337..."

alors voila, me direz-vous pourquoi un post aussi long pour dire si peu de choses, et bien d'abord parceque, et ensuite de manière à.

Citation :<junky> huhu
<junky> tu racontes ta vie Smile

ça m'arrive et je le déplore, mais que voulez-vous...

ce qui est certain c'est que du coté des whitehats, ça devait être assez bandant (pour l'avoir déjà vécu) à vivre un incident pareil, surtout si on la chance d'être au coeur de l'action (cellule sécurité de l'entreprise ou à une échelle différente sysadmin pour acter sur le terrain etc.), on en viendrait presque à souhaiter que ça arrive un peu plus souvent :p

l'autre chose, c'est que l'attaquant en question, même si l'on a que très peu d'infos, a dores et déjà un profil qui n'est pas anodin, loin du "h4x0r" de LFI ponceur de RoP, c'est aussi un gars qui connait parfaitement les réseaux, le fonctionnement d'une entreprise et les limites des moyens/ressources alloués à la sécurité des SI, il est probable que les gens chez OVH aient des infos bien plus croustillantes encore (ce qu'ils semblent indiquer à la fin), j'espère juste qu'on aura des détails un jour...
+1 (8) -1 (1) Répondre
22-07-2013, 18h04
Message : #2
InstinctHack Hors ligne
Posting Freak
*



Messages : 1,366
Sujets : 184
Points: 299
Inscription : Dec 2011
RE: De La Sécurité informatique, ou le récit du dernier pwnage en date chez OVH
and ?
Citation :un jour en cours de java j'ai attrapé les seins d'une fille mais elle m'a frappé en disant "c'est privé !!"
j'ai pas compris pourquoi, je croyais qu'on était dans la même classe
+1 (0) -1 (0) Répondre
22-07-2013, 18h06
Message : #3
gruik Hors ligne
gouteur de savon
*



Messages : 757
Sujets : 44
Points: 482
Inscription : Oct 2012
RE: De La Sécurité informatique, ou le récit du dernier pwnage en date chez OVH
(22-07-2013, 18h04)InstinctHack a écrit : and ?

tricot :d
+1 (0) -1 (1) Répondre
22-07-2013, 18h14 (Modification du message : 22-07-2013, 18h18 par Junky.)
Message : #4
Junky Hors ligne
Snorky Master
*



Messages : 228
Sujets : 35
Points: 203
Inscription : Mar 2013
RE: De La Sécurité informatique, ou le récit du dernier pwnage en date chez OVH
Je suis vraiment très loin de tt comprendre ce qui va me mener a rejoindre Khaled sur le tricot (/kiss), mais une question me vient qd mm a l'esprit.

Le faite qu'OVH répondre de cette manière a tt ses client, et explique le pourquoi du comment est-ce arrivé est une bonne chose. Mais la ou je veut en venir est:

Ne se tire t'il pas une balle dans le pied en annoçant les possibles parades qu'il vont mettre en place ?

Citation :Immédiatement suite à ce hack, nous avons modifié
les règles de sécurité en interne:
- les mots de passe de tous les employés ont
été régénérés sur tous les types d'accès.
- nous avons mis en place un nouveau VPN
dans une salle sécurisée PCI-DSS avec
accès très restreints
- la consultation des emails internes n'est
désormais possible qu'à partir du bureau/VPN
- tous les salariés passent sur 3 niveaux de
vérification:
- l'ip source
- le mot de passe
- le token hardware personnel (YubiKey)

Même si ceci ne donne pas une réelle information, elle pourrai donner certaines bases pour un futur attaquant?

Je me trompe peu être, mais a la place d'OVH je n'aurait pas répondu ceci.


Junky.
Pour la sécurité, sous linux, le principal soucis est l'interface chaise/clavier

+1 (0) -1 (0) Répondre
22-07-2013, 19h40
Message : #5
0pc0deFR
Non-enregistré



 
RE: De La Sécurité informatique, ou le récit du dernier pwnage en date chez OVH
Ce qui est inquiétant c'est que le hacker a réussi à accéder à la boite mail de l'admin certainement à coup de SE ou à coup de backdoor sur sa machine car une vuln sur le serveur mail aurait permis d'accéder directement aux infos des sys admin et donc aurait simplifier l'attaque.

Dans le cas d'un SE c'est un manque d'informations/formations au sein de OVH
Dans le cas de la backdoor faut être un bon admin pour surfer avec sa machine de manière à choper un backdoor et ensuite ce connecter à sa boite mail du travail.
positive (0) negative (0) Répondre
22-07-2013, 20h18 (Modification du message : 22-07-2013, 20h19 par gruik.)
Message : #6
gruik Hors ligne
gouteur de savon
*



Messages : 757
Sujets : 44
Points: 482
Inscription : Oct 2012
RE: De La Sécurité informatique, ou le récit du dernier pwnage en date chez OVH
(22-07-2013, 18h14)Junky a écrit : Le faite qu'OVH répondre de cette manière (...) Ne se tire t'il pas une balle dans le pied en annoçant les possibles parades qu'il vont mettre en place ?

ben... oui et non Smile
je peux me tromper mais j'y vois une question de "responsabilité", au sens économique du terme, je m'explique; si à l'avenir OVH se fait à nouveau pirater, admettons à cause d'une faille dans les yubikeys, si c'est un 0day OVH pouvait pas savoir, c'est pas son boulot de sécuriser les produits qu'il achète, si c'était la faille était connue depuis 3 ans, OVH aurait du investir pour changer ses dongles, c'est l'attitude responsable à laquelle on s'attend

et de l'autre coté, annoncer ce qui s'est passé, ce qui va être fait etc. c'est là aussi une façon de jouer la transparence et d'avoir une attitude responsable qui fricote avec la notion de "full disclosure" chère aux aficionados de la sécurité, chose importante pour une grosse entreprise dont l'un des soucis principaux est devenu au fil des années la fameuse "e-réputation", tout ça se tient dans une logique économique néanmoins, le propos n'est à mon avis pas celui de quelques "valeurs morales" à la sauce OVH Wink

(22-07-2013, 19h40)0pc0deFR a écrit : Ce qui est inquiétant c'est que le hacker a réussi à accéder à la boite mail de l'admin certainement à coup de SE ou à coup de backdoor sur sa machine car une vuln sur le serveur mail aurait permis d'accéder directement aux infos des sys admin et donc aurait simplifier l'attaque.

Dans le cas d'un SE c'est un manque d'informations/formations au sein de OVH
Dans le cas de la backdoor faut être un bon admin pour surfer avec sa machine de manière à choper un backdoor et ensuite ce connecter à sa boite mail du travail.

c'est pas faux... je revois encore le responsable sysadmin nous dire "vous utilisez pas votre boite gmail hein, y'en a un qui s'est fait gauler on lui a cloué les boules au dessus de son ecran pour en faire un sapin fraicheur etc."... ou quelque chose du même genre Big Grin mais à mon avis ça doit arriver plus souvent qu'on pense, "je suis sysadmin donc je connais l'informatique, je connais l'informatique donc la sécu j'en fais mon affaire" (note que ça marche en sens inverse également, j'ai vu des pentesters se prendre pour des sysadmins avec le succès d'un roti de veau lors d'un repas végétarien)
idée un-peu-con-mais-ptet-pas-en-fait : tu veux un accès au vpn de ta boite, de manière à pouvoir faire du télétravail et notament consulter les mails du boulot depuis chez toi, la cellule sécurité te fait parvenir les certificats pour le vpn... par la poste ? (en fait le pôle sécu n'a probablement rien à voir là dedans, principe de la patate chaude, ils t'envoient les certificats sur ta boite mail boulot, et charge au destinataire de les rappatrier de manière sécurisée chez eux, cqfd Wink)

au final le problème est celui des accès externes à l'entreprise et des postes informatiques non-maîtrisés, c'est nécéssaire et néanmoins y'a aucun moyen pour l'entreprise pour s'assurer que ledit poste n'a pas été compromis...
+1 (0) -1 (1) Répondre
23-07-2013, 06h58
Message : #7
0pc0deFR
Non-enregistré



 
RE: De La Sécurité informatique, ou le récit du dernier pwnage en date chez OVH
(22-07-2013, 20h18)gruik a écrit : au final le problème est celui des accès externes à l'entreprise et des postes informatiques non-maîtrisés, c'est nécéssaire et néanmoins y'a aucun moyen pour l'entreprise pour s'assurer que ledit poste n'a pas été compromis...

Tout à fait d'accord d'où l'intérêt de séparer travail et vie privée. Pour l'exemple, j'ai une machine windows qui ne me sert qu'à de l'analyse de code statique et quelques bricoles sous windows et pour le pro, le reste c'est sur une machine Linux et quand besoin est j’exécute sur machine virtuelle (exécuté du Windows en virtuelle sur du Linux hôte permet de prévenir les éventuels escalation hôte).

Ceci dit ça doit être le cas aussi chez les pentesters de se faire compromettre aussi car la mentalité humaine dit "c'est mon job, je sais ce que je fais donc je suis pas obligé de me sécu à fond".

Une question me vient aussi, quelle est l'utilité d'avoir des sys admin qui sont autorisés à se connecter à leur boite mail de l’extérieur alors que chez OVH ils ne sont pas amenés à travailler sur l’extérieur.
positive (0) negative (0) Répondre
23-07-2013, 09h53
Message : #8
Junky Hors ligne
Snorky Master
*



Messages : 228
Sujets : 35
Points: 203
Inscription : Mar 2013
RE: De La Sécurité informatique, ou le récit du dernier pwnage en date chez OVH
Donc finalement si je comprend bien:

On explique le système de mise en place des corrections afin d'avoir une "transparence" vis à vis du client tout en "aiguillant" un futur attaquant,

et

On nous parle de sécu, que les boites mails perso c'est le mal mais la cellule sécurité ne fait rien pour diffuser/distribuer les certificats de connection des VPN pour les usager de façon "plus scred" et comme tu dis si bien gruik:

Citation :principe de la patate chaude

Donc on pourrait presque en déduire, c'est déjà arrivé, ça viens de se reproduire, et ça se reproduira car finalement il n'y a pas forcément de responsable déclaré et donc peu de solutions/résolutions mise en place vraiment concrètes.
Quand bien même on pose des solutions, on les explique gentillement et avec une précision se qui a pour effet "d'annulé" celle-ci finalement.

J'ai presque envie de dire , c'est le chien qui se mord la queue. Undecided

Junky
Pour la sécurité, sous linux, le principal soucis est l'interface chaise/clavier

+1 (0) -1 (0) Répondre
23-07-2013, 12h17
Message : #9
gruik Hors ligne
gouteur de savon
*



Messages : 757
Sujets : 44
Points: 482
Inscription : Oct 2012
RE: De La Sécurité informatique, ou le récit du dernier pwnage en date chez OVH
(23-07-2013, 06h58)0pc0deFR a écrit : Ceci dit ça doit être le cas aussi chez les pentesters de se faire compromettre aussi car la mentalité humaine dit "c'est mon job, je sais ce que je fais donc je suis pas obligé de me sécu à fond".

je pense même que ce sont les pires, avis perso Wink

Citation :Une question me vient aussi, quelle est l'utilité d'avoir des sys admin qui sont autorisés à se connecter à leur boite mail de l’extérieur alors que chez OVH ils ne sont pas amenés à travailler sur l’extérieur.

ben le télétravail, les astreintes (pas forcément obligé de se déplacer en pleine nuit quand ça sonne si ça peut être réglé en 5min à distance), pour le moins
+1 (0) -1 (1) Répondre
23-07-2013, 12h22
Message : #10
0pc0deFR
Non-enregistré



 
RE: De La Sécurité informatique, ou le récit du dernier pwnage en date chez OVH
Une boite comme OVH je pense qu'ils ont des équipes qui tourne H24 avec des admins sys présents sur site à toute heure non?
positive (0) negative (0) Répondre
23-07-2013, 12h32
Message : #11
gruik Hors ligne
gouteur de savon
*



Messages : 757
Sujets : 44
Points: 482
Inscription : Oct 2012
RE: De La Sécurité informatique, ou le récit du dernier pwnage en date chez OVH
j'ai encore jamais vu d'entreprise embaucher des gens en nocturne explicitement en général t'as plutot un fonctionnement d'astreintes tournante avec tes collègues sysadmins, les seuls à bosser en nocturne à la limite c'est les gardiens, mais je me trompe peut-être faut voir...
+1 (0) -1 (1) Répondre
23-07-2013, 12h48
Message : #12
Junky Hors ligne
Snorky Master
*



Messages : 228
Sujets : 35
Points: 203
Inscription : Mar 2013
RE: De La Sécurité informatique, ou le récit du dernier pwnage en date chez OVH
(23-07-2013, 12h32)gruik a écrit : j'ai encore jamais vu d'entreprise embaucher des gens en nocturne explicitement en général t'as plutot un fonctionnement d'astreintes tournante avec tes collègues sysadmins, les seuls à bosser en nocturne à la limite c'est les gardiens, mais je me trompe peut-être faut voir...

Si j'ai déjà vu des cas. Je sais qu'a une époque Agarik recrutait sur des plages horaires 7/7 24/24.
Mais de mémoire sa remonte un petit peu de tps.

Citation :*Horaires aménagés
Agarik a mis en place un fonctionnement en 24*7. Sur 30 semaines vous travaillez :
- 12 semaines consécutives en horaires de jour (à définir en fonction de vos préférences)
- 6 semaines consécutives en horaires de jour, incluant des week-ends
- 6 semaines consécutives en soirée (15h-23h ou 16h-minuit)
- 6 semaines consécutives la nuit (23h-7h ou minuit-8h)
Pour la sécurité, sous linux, le principal soucis est l'interface chaise/clavier

+1 (1) -1 (0) Répondre


Sujets apparemment similaires…
Sujet Auteur Réponses Affichages Dernier message
  sécurité, tracking et anonymat playzzzz 13 630 23-07-2013, 15h14
Dernier message: gruik
  La sécurité des mots de passe InstinctHack 6 371 19-04-2013, 12h17
Dernier message: InstinctHack

Atteindre :


Utilisateur(s) parcourant ce sujet : 1 visiteur(s)
N-PN
Accueil | Challenges | Tutoriels | Téléchargements | Forum | Retourner en haut