[retour sur la homepage] [sommaire des news]

[mardi 12 decembre 2006 à 12:19:20] Lu 432538 fois (387999 by )
INTERNET /
Faille chez OVH qui ne sécurise pas son espace client

Comment accéder à des infos clients confidentielles facilement

Si vous avez du temps et de la patience, je vous propose de belles et instructives lectures.
OVH a purement et simplement oublié de sécuriser son espace client. Une faille totalement incroyable !

Ainsi, via une simple requête GOOGLE, il est possible d'accéder à l'ensemble de plusieurs échanges entre le support technique d'OVH et leurs clients. Il est facile de penser qu'en farfouillant un peu, beaucoup d'informations confidentielles ou simplement tactiques (configurations, problèmes techniques ou failles) y sont abordées.

Voici la requête GOOGLE qui fonctionne encore pour quelques instants avant que le service technique ne réagisse... :
http://www.google.fr/search?hl=fr&q=+site%3Awww.ovh.com%2Ffr%2Fespaceclients%2Fsupport%2Fsupport.cgi&btnG=Rechercher&meta

Et voici quelques copies d'écran:




IMPORTANT : REMARQUEZ ICI LE "HTTPS" qui indique bien l'accès sécurisé !!!

Encore la démonstration de la puissance mais aussi du danger de GOOGLE lorsqu'on ne sait pas protéger efficacement son système applicatif.

Dans tous les cas, CARTON ROUGE pour OVH... et j'invite ses clients à alerter en urgence le service technique afin de blinder la chose... et à consulter attentivement vos échanges afin de vérifier si aucune info sensible n'a été échangée (mot de passe root, chemins cachés, etc)

Mais pour votre info, sachez qu'il est déjà trop tard car GOOGLE conserve une trace du contenu des pages même lorsque celles-ci sont devenues inaccessibles. Donc, par précaution, changez-tout !

Client OVH, à votre place, j'aurai quelques angoisses...


[EDIT] -----------------------------------------------------------
En passant par d'autres requêtes, c'est mortel. Par exemple, si vous incluez le prénom d'un des techniciens d'OVH.

[EDIT 2] -----------------------------------------------------------
Vue la polémique lancée par certains à la suite de ce billet (dont la plupart sont clients chez OVH ) et qui minimisent le risque, je me permet de faire une petite démonstration de ce qu'il est possible de faire en 2 secondes (sans être un hacker).
Voici une usurpation d'identité :
- Par divers liens, j'ai obtenu la page suivante :


- puis, simplement j'ai répondu... et voici le message.


Je peux donc très bien me faire passer pour un client et dialoguer avec le support technique.
(pas besoin de mot de passe ni de login pour le faire...)

MISE A JOUR 18 JANVIER 2007
Il semblerait - n'ayant pas reçu de communiqué officiel de la part d'OVH - que ce trou de sécurité ait été partiellement<:b> corrigé en ce début de semaine avec quelques pages blanches en lieu et place des messages clients trouvés sur GOOGLE


CEPENDANT, je viens de trouver avec l'aide d'un ami de nouvelles pages avec des codes d'accès donnés par un client. OVH semble n'avoir seulement enlever les pages les plus faciles à trouver mais n'a pas résolu le soucis globalement !!!!!




[retour sur la homepage] [sommaire des news]


Commentaires / Comments

1 - De "fabien",  le mardi 12 decembre 2006 à  15:49:33
d'un coté si google a exploré ces pages , c'est qu'un lien vers elle a été posté quelque par .
a partir de la , si un met un lien vers un post de support c'est que l'on considère qu'il ne contient pas d'infos sensibles !


2 - De "moi meme",  le mardi 12 decembre 2006 à  15:54:40
ou sont ces liens donc ?

lorsque l'on regarde de plus près, ils n'apparaissent pas !

est ce que c'est une raison suffisante pour laisser "ouvert la porte" à google et au monde entier alors que les clients ont des codes d'accès ???

surtout pour un hébergeur...


3 - De "Dominik (le webmaster)",  le mardi 12 decembre 2006 à  15:55:01
@Fabien
Ha bon ? En HTTPS ? T'es sur de ton coup là ?
L'espace client est normalement un espace privé... d'autant que les échanges doivent rester confidentiels, ce qui me parait logique pour conserver une certaine sécurité dans les échanges... Avec le support tecnhique, on explique souvent des choses sensibles, comme des mots de passe. Par exemple.

Non c'est tout bêtement une faille.


4 - De "thomas",  le mardi 12 decembre 2006 à  15:56:13
D'accord avec Fabien. Mais quand même, cela semble très étrange et cela a surtout tendeance a forcement m'inquieter...

Je t'aime Google quand tu me raméne des visiteurs, mais il y a des limittes ^^
Par contre, OVH m'inquiet un peu, surtout une page https


5 - De "puz",  le mardi 12 decembre 2006 à  15:58:47
ça une failles ? et bé!
essayes donc d'accéder ensuite à l'espace "privé" du soit-disant client que tu as hacké

bonne chance quand même...

ce n'est pas parce que tu as trouvé un ticket du support que tu vas avoir accès à tout l'espace client d'un gars.. faut arrêter de rêver


6 - De "twin",  le mardi 12 decembre 2006 à  16:01:27
Ouais, enfin c'est surtout pour que l'on parle du blog sur plusieurs forum, et ca marche !
Mais c'est tout de même surepnant que de spages sécurisé soient référencé. il y a forcément un lien quelque part pour que GG la référence.

Mais comme dit puz, de la a pouvoir accéder a la partie privée; bon courage !


7 - De "Dominik (le webmaster)",  le mardi 12 decembre 2006 à  16:01:53
@puz:
J'ai rien hacké... c'est dans GOOGLE ! C'est tout

[EDIT]
Ce qu'il faut comprendre, c'est qu'aux yeux d'un internaute, la vision de HTTPS signifie que c'est SECURISE... hors en fait, il n'en est rien.
Tout échange est accessible... même par une recherche sous GOOGLE.

C'est un véritable danger pour ceux qui peuvent croire converser en toute quiétude avec le support technique. C'est cela le message de mon billet. Et non un HACKING !


8 - De "jeromax",  le mardi 12 decembre 2006 à  16:04:01
Je n'ai trouvé que 58 pages du support. Ils ont du laisser un truc ouvert 2min et google s'est engouffré dedans... mais on n'a pas grand chose à craindre je pense.


9 - De "Atkati",  le mardi 12 decembre 2006 à  16:09:05
Arrêtez vos conneries, ça c'est encore des malins qui ont fait un lien vers leur ticket de support...


10 - De "nimportequoi",  le mardi 12 decembre 2006 à  16:12:46
Carton rouge pour le bloggeur qui ne comprend pas quelques
principes de base sur le referencement.

Si google a referencé une page, ce que:
- soit quelqu'un l'a rendu public (s'il veut rendre public sa discution avec le support d'ovh c'est son droit)
- soit google a connu l'URL via un autre moyen (par
exemple gmail).




11 - De "Dominik (le webmaster)",  le mardi 12 decembre 2006 à  16:30:27
Merci pour ce cour magistral sur le référencement...

Cependant, n'étant pas client chez OVH, j'en arrive à déduire plusieurs choses dont l'une qui coule de source (étonnant de devoir raisonner à la place de certains cadors ) :
si une ou plusieurs personnes ont dévoilé un lien HTTPS complet dans GOOGLE, et même si celle-ci ne pensaient pas avoir d'informations confidentielles à dévoiler, cela permet à de vrais hackers de connaître le type de requête à effectuer pour SONDER les autres pages du support. Donc la confidentialité des autres pages est mise en péril. C'est indéniable.

Maintenant je comprend tout à fait que certains cherchent à minimiser ce billet...


12 - De "Bernard",  le mardi 12 decembre 2006 à  16:38:12
sans parler de hacker ou autre, on parle d'une faille permettant à tout internaute malveillant ( ou un concurrent d'OVH ? ) de collecter des données et d'en savoir plus sur les clients, les demandes clients, etc...

cela fait peur : si un échange se perd par hasard sur un forum, c'est tout cet échange qui peut se retrouver sur google .

il y a donc bel et bien une faille dans l'accès aux données clients qui se retrouve sur les tickets supports, eux meme non protégés par codes d'accès clients.

le terme de "faille" est surement mal choisi, on pourrait dire "erreur de protection des données clients" mais il y a quoi qu'on en dise une fuite.

merci à Dominik Fusina pour l'info.

Bernard


13 - De "deckarudo",  le mardi 12 decembre 2006 à  16:39:10
Dominik, ce n'est pas un hack, une faille, ou quoi que ce soit... La personne à l'origine du thread a posté l'URL du support (URL formée par un numéro aléatoire) afin de rouspéter après OVH. Voici l'URL d'origine :
http://www.phpfrance.com/forums/voir_reponse-150934.php?sid=c0398b1765fb12f06b719326910583d7

Beaucoup de bruit pour rien du tout


14 - De "Greg",  le mardi 12 decembre 2006 à  16:45:18
Les types de requetes? Mouais, enfin ca c'est pas dur, a la limite (une page web sur 4 hosté chez ovh, donc ca en fait du monde qui connait leur support).
Mais meme si donc tu as une url, ok, mais bon, vas y, trouve moi comme ca au hasard un autre id. Tu as vu la longueur? Et c'est du random.
Non le probleme c'est les neuneus qui post ces urls sur des forum etc, mais bon, on peut pas reprocher a ovh la betise de certains de leurs clients.

Maintenant, c'est vrai, ils pourraient demander le login/pass, mais pfiouuu ca serait chiant a lire le support

Enfin perso, je suis sur que tu ne verra jamais un de mes threads avec leur support, et tu n'aura encore moins acces a mes serveurs avec ca.


15 - De "gégécash",  le mardi 12 decembre 2006 à  16:52:03
à partir de l'instant ou une personne accède à ce qu'elle n'aurait pas du voir, c'est une faille dans le système.

je ne vois pas le mot hacking dans ce que dit l'auteur de ce blog.



16 - De "Tito",  le mardi 12 decembre 2006 à  16:56:16
Bizarre tout de même lorsqu'on parle ici de risques mineurs car je vois quand même des mails en clair. Je suis pas persuadé qu'un client OVH ait forcément l'envie de voir son mail perso se balader sur la toile... pour se faire spammer, rien de pire !


17 - De "espace",  le mardi 12 decembre 2006 à  17:04:07
pour la concurrence c'est super sympa ces échanges car en fait, on accède aux échanges d'un client qui veut se barrer d'OVH ! non seulement il y a une faute pour OVH de pas blinder l'accès mais en plus, le client concerné semble mécontent d'eux... ca fait beaucoup pour celui qui se considère comme numéro 1 Français non ?


18 - De "Greg",  le mardi 12 decembre 2006 à  17:06:39
à partir de l'instant ou une personne accède à ce qu'elle :n'aurait pas du voir, c'est une faille dans le système"

Humm, alors je prend un mail dans ma boite mail, et je te le copie ici, c'est une faille de thunderbird?

Le gars a posté le thread, soit donc en gros le contenu du mail. C'est pareil.

"Je suis pas persuadé qu'un client OVH ait forcément l'envie de voir son mail perso se balader sur la toile... pour se faire spammer, rien de pire !"

Hummm, pour peut que tu ais un nom de domaine (ce qui est le cas de cette personne en tout cas), ton adresse se trouve dans les bases de whois. (Par ex, un whois sur fusina.net, ben tu trouvera le mail et meme l'adresse postal voir peut etre le telephone du proprio du domaine !).

Perso, je vois tjs pas de faille


19 - De "Dominik (le webmaster)",  le mardi 12 decembre 2006 à  17:47:12
Pour Greg le septique... regarde plus haut.
Mais c'est vrai que se faire passer pour un autre client, c'est pas grave du tout Et c'est surtout pas une faille.


20 - De "hihi",  le mardi 12 decembre 2006 à  17:55:41
Ah oui c'est drôle ça

ça veut dire que le site ne fait aucun contrôle de type cookie, adresse IP du client, durée de vie de la session, etc...enfin bref les bases de la sécurité

cette URL est PUBLIQUE car rien n'interdit sa consultation.

c'est du grand n'importe quoi


21 - De "fuzinoob",  le mardi 12 decembre 2006 à  17:59:39
salut,

je crois pas qu'il n'y ai de failles ... des clients ont fait des copier / coller de leur adresse de discussion avec OVH sur des forums, d'où cette présence dans google. dans tous les cas je pense pas que les clients aient été assez con pour linker un thread comprennant leur mot de passe.

je sais pas si en France on a le droit d'écrire des trucs faux sur des société, surtout dans ce domaine ... diffamation non ?



22 - De "emilia",  le mardi 12 decembre 2006 à  18:07:33
comme on l'a signalé.. le gar à donner le lien vers son thread chez OVH.. en gros il a ouvert les portes de sa voiture, et il est parti en laissant les clés dessus.

Et on s'étonne que l'on puisse rentrer?

Si jamais je met un lien vers un webmail, avec mon login et mon passe (qui pourrait correspondre au numéro généré dans l'url), bin il faut pas que je m'étonne que quelqun rentre, et cela ne sera pas la faute du webmail.

Un bon troll comme on les aime...
a bientot pour de nouvelles aventures.


23 - De "Greg",  le mardi 12 decembre 2006 à  18:08:43
Dominik, si on reprend l'exemple du mail copié/collé dans un forum, y a des chances pour qu'avec il y ait le mail source, et le mail du destinataire. Qu'est ce qui donc t'empeche de faire une fausse reponse aussi?

Ecrire un mail avec une adresse source qui n'est pas a toi est a la porté de l'internaute moyen...


24 - De "emilia",  le mardi 12 decembre 2006 à  18:12:19
Pour dominique:
est ce que tu peux me donner un lien vers l'admin du blog comme ca je vais te montrer qu'il y a aussi une faille dans ton blog..
C'est en gros ce qu'à fait ce "malheureux" client.. et lui il a donné le lien.
c'est pas une faille c'est juste la connerie d'un gars. et surtout ca n'impacte que ce gars la..
tant pis pour lui.


25 - De "tomatoketchup",  le mardi 12 decembre 2006 à  18:19:25
émilia, greg, vous etes dans quel délire la ?

tout le monde incendie ce pauvre blogueur qui lache une info alarmiste (trop?) mais qui a sur le fond totalement raison.

le client est parti en laissant les clés sur sa voiture, mais si sa voiture était bien équipé, elle serait pourvue d'un système d'alarme et/ou de verouillage automatique non ? ( comme c'est le cas sur la plupart des voitures récentes ). Peut etre qu'OVH est trop ancien pour mettre cela alors ?

Dominique à raison : un login et un mot de passe ne serait pas trop d'autant que si certains diffusaient l'info ( apparement ca a déjà été le cas ) avec des infos plus secretes, ca mettrait en péril le client.

mais c'est pas grave émilia et greg, peut etre que vous etes des gens parfaits, les professionnels eux, reconnaissent toujours leur erreur... OVH proposera t il une correction ?

la suite au prochaine épisode !

ps: tes photos de Lyon sont très belles Dominique.



26 - De "Gael",  le mardi 12 decembre 2006 à  18:20:39
J'adore les mecs d'OVH qui rappliquent en se faisant passer pour des quidams et qui tentent de se justifier comme ils peuvent. C'est pitoyable.

Les données échangées lors des conversations de tickets ou d'incidents sont des données PRIVÉES, et à ce titre doivent nécessiter une authentification pour être consultées par des tiers.

Je pense qu'OVH encours de graves ennuis s'ils ne réctifient pas le tir, même si avec la diffusion de la nouvelle, le mal est fait.


27 - De "Greg",  le mardi 12 decembre 2006 à  18:32:14
Hum, juste pour reagir une toute derniere fois.

1 - Je ne suis pas de OVH
2 - Si tu laisse les clefs de ta voiture ben oui, tout le monde peut l'ouvrir. Justement, tu demonte ton raisonnement la...


28 - De "Greg",  le mardi 12 decembre 2006 à  18:36:00
Hum, pardon j'avais mal lu la phrase sur la voiture...

L'autre probleme est : Si tu report un probleme de login, tu fais comment?
Quand tu parle avec le support, post pas l'url du thread sur un forum, et il n'y aura aucun probleme (de la meme maniere que tu ne c/c pas tes mails sur des forums etc).

Deja en c/c l'adresse sur un forum, tu rend toi meme ton message public, donc quel est le probleme qu'il soit dans google?


29 - De "bosco",  le mardi 12 decembre 2006 à  18:36:44
Juste Dominik, ça va les chevilles ? Parce que ton "raisonner à la place des kadors" ça me fait bien marrer... Commence par en apprendre un peu plus sur la sécurité et ce qui est public ou pas chez OVH et après tu viendras en reparler...

Pour accéder aux discussions avec les techniciens d'ovh, il faut se connecter sur son compte ovh. Après, rien n'empêche de rendre cette url publique, mais ça c'est le client qui le fait. Gael, je ne pense pas que tu sois client chez OVH alors arrête de parler si c'est pour dire de la merde.

De plus, tu dis que OVH risque gros... Mais si une faille existe (en supposant, je dis bien _supposant_ qu'elle existe) tu donnes un moyen de l'exploiter... Ce qui est... interdit par la loi... Donc dans l'histoire, c'est toi qui risque gros...

Allez, sans rancune =)


30 - De "mart1",  le mardi 12 decembre 2006 à  18:36:51
" IMPORTANT : REMARQUEZ ICI LE "HTTPS" qui indique bien l'accès sécurisé !!! "

Tu confonds accès sécurisé de l'application et protocole sécurisé.

Mais dans tous les cas on ne devrait pas avoir accès aussi facilement aux discussions entre OVH et leurs clients.

Apparemment, l'accès aux messages du support se fait par un identifiant (sûrement pour des raisons pratiques d'accès, comme ça il n'y a pas de mot de passe à taper) ... celui-ci devrait avoir une durée de vie comme une variable de session


31 - De "benjamin m",  le mardi 12 decembre 2006 à  18:54:27
mart1, HTTPS = version sécurisée du protocole HTTP (chiffrement des informations transférées et authentification du site web) donc protocole délivrant un accès sécurisé ?...

l'accès se fait d'un clic de mon coté et cela sans aucuns codes et je ne vois que le numéro ID du ticket.

Gael a entièrement raison, cela relève de la correspondance privé et ce qu'à fait le client qui a posté sur un forum, il a lui meme créé cette "faille" ce qui disculpe totalement fusina.

ca doit etre dur de s'en prendre plein la gueule quand on pense avoir bien fait non ?


32 - De "Antoine",  le mardi 12 decembre 2006 à  18:58:25
Pas besoin de poster l'url pour qu'elle soit rendue publique, pour info votre navigateur laisse des traces sur le net et google (ou un autre site) pourrait très bien utiliser le referer pour trouver l'adresse d'un ticket


33 - De "mart1",  le mardi 12 decembre 2006 à  19:06:00
"donc protocole délivrant un accès sécurisé ?..."

Et bien justement non. Tu peux configurer un serveur pour que les communications soit cryptées en laissant l'accès à l'application non ou partiellement sécurisé...
C'est ce qu'a choisi de faire OVH (à tort ou à raison) pour son support technique. Mais ce n'est pas très malin de la part d'un client de coller dans un forum des liens vers des tickets de son support ...

Mais je ne veux pas jouer sur les mots, OVH devrait en effet mieux sécuriser l'accès aux données du support technique.


34 - De "wullon",  le mardi 12 decembre 2006 à  19:14:18
C'est assez ancien ce système chez OVH, j'avais d'ailleurs toujours été étonné que toute la correspondance support soit publique (dans le sens où elle ne nécessite aucune authentification). Mais bon, ça me passait au-dessus de la tête.

Je trouve que tu as raison de souligner ce point, qui est quand même étonnant (OVH - le plus gros hébergeur français - est à ma connaissance le seul à utiliser un tel système pour le support), et qui sera peut-être changé ;p.

Au passage, pour répondre aux commentaires "sur le référencement", le fait de découvrir les URLs via Google n'a pas de rapport direct avec le vrai problème.


35 - De "emilia",  le mardi 12 decembre 2006 à  19:23:16
je tiens à ralentir un peu....
1) je ne suis pas chez ovh mais juste interessée par la sécurité en général (on n'est jamais autant au courant des pb existant que quand on en a rencontré plusieurs)

2) pour l'exemple de la voiture, si tu as la clé tu pars avec c'est tout. tu peux demander une seconde clé ^pour démarer l'utilisateur normal va etre emmerdé 24h/24.

3)20113394758910941708 ca veut dire :
20.113.394.758.910.941.708 au moins tout ca de possibilité (au mois 99 milliards de milliards de possibilités) donc peu de chance de tomber sur un thread par hazard. mais c'est vrai que ca laisse toujours une possibilité.

4) à la base l'idiot dans l'histoire n'est pas fusina meme si c'est le support du message mais pas l'internaut qui a laissé l'adresse complete pour aller voir son message sur son thread.
il faut donc relativiser de part et d'autre, pour moi ce n'est pas la faille de sécurité du siecle, vu tout ce qui c'est dit mais en meme temps la porte n'est pas completement fermée.

En gros la question est :
Est ce que les utilisateurs pour signaler leur problème (par exemple de login) doivent avoir un login de secour et l'utiliser pour les threads avec OVH
Est ce que les utilisateurs continuent d'accèder au messages directement par l'url qui leur est fournie?

C'est à OVH de voir ca avec leurs clients.
A+


36 - De "Dominik (le webmaster)",  le mardi 12 decembre 2006 à  19:54:01
@Emilia.
Ce n'est pas la faille de sécurité du siècle. Je n'ai jamais prétendu celà. Mais, à mon sens, une belle si l'on considère le sens donné à la confidentialité et importance de tels échanges !

Personnellement, je souhaitai devenir client OVH au niveau hébergement. (sisi)

Mais découvrir que des échanges SUPPORT/CLIENT sont accessibles sans log-in et mot de passe me glace le sang.
Je tiens à insister sur le fait que l'on peut très bien faire une usurpation d'identité en ayant seulement l'URL d'un seul THREAD. Je l'ai démontré plus haut. Quant à utiliser SSL dans le cas présent, cela ne peut que créer une confusion sur la sécurité des échanges et tromper son monde. Là c'est plutôt grave !

Quoiqu'il en soit, dans de nombreux forums actuels, le principe d'accéder à un THREAD peut être limité lorsque une certaine confidentialité est exigée. Quand à l'identité du posteur, elle ne peut être violée avec autant de facilité. Un log-in et mot de passe est généralement nécessaire lors de chaque session. C'est tout.

Dans le cas présent, rien de tout cela...
Pour ma part, je trouve cela ahurissant... et plutôt inquiétant.


37 - De "bosco",  le mardi 12 decembre 2006 à  20:28:10
Bon arrête de dire de la merde et va te coucher.

Tu sais ce qui se passe de l'autre côté ? Non.
Tu es client chez OVH ? Non.
Tu connais le système ? Non.
Tu l'as utilisé ? Non.

Tu lances de gros trolls ? Oui.
Tu dis de la merde ? Oui.


38 - De "wullon",  le mardi 12 decembre 2006 à  20:33:25
Tu sais ce qui se passe de l'autre côté ? Non. (mais osef)
Tu es client chez OVH ? Oui.
Tu connais le système ? Oui.
Tu l'as utilisé ? Oui.

Et effectivement, il y a une faille potentielle, ultravisible et ancienne qui plus est.

Après est-ce que cette faille est importante, c'est à voir, mais bon rien à dire sur les faits décrits par le billet .


39 - De "Dominik (le webmaster)",  le mardi 12 decembre 2006 à  21:07:26
Tu l'as utilisé ? Ben oui.
J'ai même posté un message sous une identité qui n'était pas la mienne.


40 - De "bosco",  le mardi 12 decembre 2006 à  21:17:54
Wullon, ce que je disais s'adressait à dominik qui a le kikitoudur et même qu'il se sent plus pisser puisqu'il croit avoir trouvé LA faille du siècle.

Pour beaucoup de client ce n'est pas une faille. Pour moi ce n'en est pas une.

Et pour info, l'utilisation d'une faille de sécurité c'est 3 ans de prison et 45 000 euros d'amende...


41 - De "Jejem",  le mardi 12 decembre 2006 à  21:20:14
Pour ma part, je verrais bien Octave déposer plainte pour ce que tu viens de faire, entre autre révéler une faille sécuritaire en public, comme ça, c'est totalement illégal. De plus ce que tu as fais est aussi illégal, y'a MEME de l'usurpation d'identité, ça peut aller très loin (prison ferme...)

Vaut mieux que t'arrêtes loool


42 - De "al youki",  le mardi 12 decembre 2006 à  21:30:48
une faille utilisée en public sur des forums d'ou semble etre parti le référencement, des témoignages d'utilisateurs, et surtout, OVH qui n'a jamais pris la mesure du problème vu ce qu'on lit depuis que ce post tourne.

Ca donnera une belle image d'OVH : des gens aident et proposent aux gens de se blinder en évitant de donner des infos confidentielles dans leur communication avec le support en attendant une éventuelle correction.

si OVH corrige, ils préviendront surement le blogueur pour qu'il corrige son article et voila, en tout cas je serais eux je jouerais la transparence jusqu'au bout...


43 - De "bosco",  le mardi 12 decembre 2006 à  21:35:22
Oui ils feraient ça si le "blogueur" avait fait les choses dans l'ordre :
- avertir ovh
- en parler

Or, il a fait :
- en parler
- demander aux éventuels clients de passage d'informer ovh
- utiliser la faille

Donc c'est plutôt au "blogueur" de la jouer profil bas...


44 - De "Antoine",  le mardi 12 decembre 2006 à  23:48:48
+1 Dominik, moi je suis avec toi, je trouve que c'est bien d'informer quand on constate un problème de sécurité comme celui ci.

D'autre part, même si certains cherchent à minimiser ce post, il s'agit bien d'un problème de sécurité... de pouvoir poster un message sur ce support en usurpant une identité.


45 - De "Christophe",  le mardi 12 decembre 2006 à  23:51:47
Carément n'importe quoi.

Déjà, il faut connaitre l'id dans l'URL (20 chiffres) et seul le client le connais.

Ensuite, OVH n'est pas censé communiquer des identifiants, sa devrait donc pas être un problème très critique.

Dans le cas actuel, je pense que c'est juste un Webmaster qui à fait un lien vers ce thread et Google l'a crawlé.

Ensuite, on ne peux pas appeler ça une "faille de sécurité" car le but semble justement être de pouvoir accéder au support via une URL sans avoir à s'identifier.

Arréter donc de dire des bétises... C'est limite de la diffamation et des propos calomnieux.

OVH est un excélent hébergeur et cette faille n'en est pas une.

Christophe


46 - De "Christophe",  le mardi 12 decembre 2006 à  23:55:34
Et le https veux dire que les informations sont cryptés (souvent en 128 bits) et donc que les données transmises sont sécurisés.

Sa ne veux pas dire pour autant qu'une page ne contient pas de faille.

Christophe


47 - De "clown",  le mercredi 13 decembre 2006 à  00:18:33
on oublie de dire que si le client laisse une trace dans un outil de stat de site ou log de serveur, tout le monde peut la connaitre l'URL de "refer" et donc, se faire gruger de la sorte. du fait que l'url est pas protect nimporte qui peut y avoir accès et s'amuser.

qui a dit qu'ovh était mauvais dans ce post ?
qui a mis en doute la sécurité du cryptage ?

dominik veut mettre en avant ce qu'il considère comme important pour la sécurité des clients de l'hébergeur, il a le droit et c'est honnete meme non ?

ceux qui cherchent à défendre un truc ( christophe, bosco,... ) enfonce encore plus la situation d'OVH ca parait incroyable.

perso sivit is my provider i love.


48 - De "Gael",  le mercredi 13 decembre 2006 à  07:57:21
J'ai jamais lu autant de conneries que celles que je lis dans les commentaires du dénommé "bosco".

Mon gars, t'en tiens une *sacrée* couche, à ce niveau-là, je dis chapeau bas monsieur. Dommage qu'il n'existe pas de musée pour les gens de ton éspèce, tu y serais exposé dès l'entrée.


49 - De "fab",  le mercredi 13 decembre 2006 à  10:37:43
"pour les gens de ton éspèce, tu y serais exposé dès l'entrée."

...et toi dans la piece centrale comme oeuvre principale de la collection...

Ce n'est pas parce que tu n'es pas d'accord avec ce que dit Bosco qu'il faut etre desagreable.

Je ne prendrais pas part au debat faille ou pas faille tout le monde a deja tout dit et chacun s'en fera son idée, en revanche a propos de ce que dit Bosco, si tu regardes quelques exemples, il est de bon ton lorsque tu decouvres une "eventuelle faille", de commencer par prevenir l'auteur du soft. Tu l'informes et il reagit ou non comme il le souhaite en fonction de quoi de fait de meme.

ex avec le GIE et le type qui les a prevenu qu'il avait reussi a cracké leur CB (bon ils ont pas bien reagit mais c pas le sujet)

idem avec les softs open source, il y a principalement deux cas de figure lors de la decouverte d'une faille de sécu :
- un pirate la decouvre et l'exploite
- un user ou dev la decouvre et en informe la team

Si je regarde le comportement du blogger, c'est pas vraiment le premier cas de figure (son usurpation d'identité visait juste a demontrer ses propos il me semble), par contre c'est pas du tout le deuxieme cas de figure non plus.

Donc je pense que Bosco tenait juste a signaler les bonnes attitudes à avoir dans ce genre de cas pour que ca serve a qlqchose sans creer troll, difamations et autres joyeusetes aussi inutiles que steriles.

A noter tout de meme qu'il est tout a fait improbable qu'un client passe des infos reellement sensibles dans un thread au support dans la mesure ou OVH n'a besoin de rien pour acceder a la machine en cas de prob (utilisation d'une clé SSH).

Juste pour information à celui qui prétend que des gens d'OVH se font passer ici pour des quidams afin de se defendre... c'est mal connaitre OVH je pense
Les connaissant (je suis client depuis longtemps), s'ils avaient du reagir ils seraient soit directement et officiellement intervenus, soit l'aurait fait par le biais de leurs avocats.



50 - De "nesk",  le mercredi 13 decembre 2006 à  11:26:20
Christophe : il n'est pas forcément nécessaire de connaitre l'ID, il suffit de lancer la bonne recherche sur google... tout dépend de ce que tu veux faire.

(ps: que de fautes de français dans ton comm...)


51 - De "Dominik (le webmaster)",  le mercredi 13 decembre 2006 à  11:44:47
"un user ou dev la decouvre et en informe la team"
Qui vous dit que je n'ai pas tenté de le faire ?

Petites remarques tout de même :
- ce problème existe depuis longtemps (dixit des users qui ont confirmé la chose) et rien n'a été fait depuis... Que faut-il faire pour qu'OVH bouge ? Que quelqu'un se fasse abuser et arrive à prouver que cela vient bien de là ?
- deuxio : comment trouver un contact autre que commercial chez OVH ? En effet, il est très simple de déclarer un contenu illicite ou de se faire brancher par le service commercial, mais pas moyen d'obtenir un simple formulaire d'alerte ! Est-ce bien normal pour un hébergeur ?

Juridiquement, et quoiqu'on en dise, OVH est en tort puisque plusieurs mentions légales sont absentes. L'espace client est d'ailleurs très mal renseigné puisqu'à aucun moment le client n'est prévenu qu'il ne doit pas échanger de données confidentielles ou bien diffuser l'URL de son ticket à un tiers car il engage sa responsabilité et celle d'OVH. Tout client est en droit de se retourner contre OVH pour ces quelques raisons.

Arrêtons de targiverser sur mon attitude et faire des procès d'intention.
N'inversons pas les rôles SVP.

Je souhaite sincèrement qu'OVH, en connaissance de cause, puisse agir en conséquence en trouvant rapidement un moyen de sécuriser les échanges entre ses clients et son support. Pour le bien et la tranquilité de tous...


52 - De "fab",  le mercredi 13 decembre 2006 à  12:39:21
"un user ou dev la decouvre et en informe la team"
Qui vous dit que je n'ai pas tenté de le faire

je te retourne la question !
Ou as tu ecris dans ton post que tu l'avais fait ?
Donc on suppose que tu ne l'a pas fait...

Comment trouver un contact autre que commercial chez OVH ? contact@ovh.com me semble un bon debut

sinon puisque tu as reussi a usurper une identité dans le support, il eut peut etre été utile d'en profiter pour leur ecrire ce que tu venais de reussir a faire en laissant ton adresse pour qu'ils puissent te repondre...

Peut etre l'as tu fait mais ca non plus je ne l'ai pas lu dans ton post.

Tout cela dit, je repete que je ne fais aucun proces d'intention, j'ai surtout expliqué ce qu'avait voulu dire Bosco a une personne qui visiblement ne l'avait pas bien compris

enfin...
"Je souhaite sincèrement qu'OVH, en connaissance de cause, puisse agir en conséquence en trouvant rapidement un moyen de sécuriser les échanges entre ses clients et son support. Pour le bien et la tranquilité de tous..."

Sache qu'a priori ce n'est pas au menu du jour puisqu'OVH considère que ce n'est pas une faille de leur systeme. Les echanges avec le support sont privés, si un client les rend public pour exprimer son mecontentement c'est sont droit et OVH ne souhaitent pas l'en priver (*).
Quand a pouvoir acceder à d'autres threads que ceux rendu publics par les clients eux-memes, si tu y parviens facilement, je pense qu'OVH sera tres interressé pour remedier au probleme constaté.

(*) ces propos n'engage que moi bien evidemment. Je repete que je ne suis qu'un client OVH, mais c'est issu des commentaires fait par Octave a ce sujet sur une des mailing OVH.


53 - De "Dominik (le webmaster)",  le mercredi 13 decembre 2006 à  12:53:54
Merci Fab.
Cependant je pense qu'un représentant de OVH aurait pu s'exprimer clairement à ce sujet en lieu et place de diverses supputations provenant d'internautes qui n'en savent pas davantage.
Car cela ne fait pas plus avancer le schmillblick.


54 - De "fab",  le mercredi 13 decembre 2006 à  13:58:09
La vraie question c'est "Y a t il un schmilblick ?!?" justement.

D'autre part si OVH devait réagir a chaque fois que quelqu'un avance quelquechose sur eux...

enfin bref... sujet clos for me, je pense qu'on a fait le tour

bonne continuation...


55 - De "quid",  le mercredi 13 decembre 2006 à  14:20:18
pour empecher le crawl de certaines section du site par les moteurs de recherche, il suffit de mettre un robots.txt avec les sections en question stipulées dedans

c'est le BA-ba, et c'est en effet scandaleux qu'OVH ne l'ait pas fait


56 - De "Clenche",  le mercredi 13 decembre 2006 à  16:30:36
Je suis bien d'accord avec quid.
C'est le BA-ba.

Si c'est volontaire, ce n'est pas normal.
Se ce n'est pas volontaire, ce n'est pas normal.

Essayez donc cette requête :
les IDs sont peut être aléatoires, mais il n'est pas dur d'en trouver :
dans Google : site:www.ovh.com support "ID="
là vous obtiendrez 79 réponses.

Il est possible d'usurper l'ID d'un client, certes, l'email était peut etre aussi disponible dans le forum.

Par contre, _ pouvoir clore la discution à la place d'un client _ , ca c'est encore moins normal.

En effet, sur certaines pages renvoyées par google, il est possible de cliquer sur un lien "Mon problème est résolu, je clos cette discussion", sous "Retour à l'index"
qui appelle :
onClick="window.open('/manager/fr/popup_fermer_thread.cgi?id_session=id:20112549739610143479:20112912549210572211', 'nichandle','toolbar=0,location=0,directories=0, status=no,menubar=no,scrollbars=yes,resizable=yes,width=600,height=550')



57 - De "bosco",  le mercredi 13 decembre 2006 à  16:42:44
Merci Fab. des fois il faut s'y mettre à plusieurs pour que les gens comprennent.

Pour OVH et la plupart de leurs clients, ce n'est pas une faille.
Utiliser le système de support à la place du client réel constitue un délit punit de 3 ans de prison et de 45 000 euros d'amende (usurpation d'identité et utilisation d'une faille).

Si comme tu le dis Dominik tu avais vraiment voulut prévenir le support d'OVH, tu aurais trouvé le numéro de téléphone sur la page d'accueil de www.ovh.com, ou tu aurais créé un compte afin d'ouvrir un tocket. Donc tu n'est pas allé chercher bien loin.

Mais bon sinon à part faire un gros troll, t'auras gagné quelques places sur google.


58 - De "Clenche",  le mercredi 13 decembre 2006 à  22:51:39
Bosco, je ne te comprends pas.
Il faut surement t'expliquer de plusieurs manières pour que tu comprennes, toi aussi.

"Pour OVH et la plupart de leur clients, ce n'est pas une faille"
-> Quid des autres ?
Tu reconnais donc que certains auraient raison de ne pas accepter que leurs conversations soient "publiques".
Il serait plus exact de dire que "OVH et la plupart de leur client" ne considèrent pas ca comme un problème."

"Utiliser le système [...] (usurpation d'identité et utilisation d'une faille)."
-> Pourquoi parlerais tu de délit s'il n'y avait pas exploitation d'une _ faille _ ?
Et ces menaces ne font pas avancer le débat : Faille ou pas faille ?
D'ailleurs, ce débat a assez duré.
C'est un problème entre OVH et ses clients et OVH et son image.

"Si comme tu le dis [...]"
Il n'a jamais dit qu'il voulait prévenir le support d'OVH. Par contre, les clients peuvent le faire.
Si tu es si concerné par OVH tu peux le faire.

"Mais bon sinon à part faire un gros troll [...]"
Et tu as largement contribué à ce troll, ce que personne ne t'avais demandé de faire.


59 - De "Gael",  le vendredi 15 decembre 2006 à  10:54:01
Bosco et fab, vous figurez desormais parmi les plus beaux specimens de trolleurs dans mon panthéon personnel ; et certainement également dans bon nombre de ceux des lecteurs de ce billet. Vous vous ridiculisez tout seuls par le simple potentiel de vos propos. Bravo ?


60 - De "Sun Location",  le vendredi 15 decembre 2006 à  22:52:46
C'est vraiment pas prudent de la part d'ovh d'avoir des conversations de hotline sur google, sachant que cet hébergeur reste une référence.


61 - De "Dominik (le webmaster)",  le vendredi 15 decembre 2006 à  23:05:21
C'est sûr...
Leur compétence globale n'est pas pointée à l'index. Mais dans le cas présent, c'est quand même une belle négligence.
J'espère finalement et sincèrement que ce billet les poussera à se bouger afin de corriger le tir au plus vite.


62 - De "le moine",  le vendredi 15 decembre 2006 à  23:51:29
en tout cas toujours rien actuellement et aucune réponse à ma question concernant la sécurité des échanges support... si on appelle ça un bon hébergeur, moi je me fais moine !



63 - De "Oen",  le vendredi 15 decembre 2006 à  23:56:19
En meme temp faut vraiment etre con pour exposer ce probleme en public

une personne avec un peu de bon sens aurai uniquement montré des screen sans pour autant expliquer comment faire

personne n'est parfait , mais alors toi !


64 - De "JB",  le mardi 19 decembre 2006 à  15:21:52
billet posté le 12 ... nous sommes le 19 soit plus de 7 jours après, AUCUNES infos ou réactions de la part de gens se disant "1er hébergeur Français" !! j'ai surtout l'impression que ce sont des vrais rigolos qui fonctionnent à l'ancienne sans se préoccuper des infos de leur client ni des lois les encadrant.

Je crois qu'une action en justice va rapidement s'imposer contre leur pratique pour souligner encore plus leur niveau de compétences et leur degré de réactivité proche de 0 !

JB


65 - De "John",  le mercredi 20 decembre 2006 à  01:33:15
Bonsoir a tous,

Je vois que "Dominik" en fait réagir plus d'un et il a raison.

Même si on ne peut pas considérer le support d'OVH comme comportant une faille au niveau technique.

CETTE FAILLE EXISTE POUR LA CONFIDENTIALITE DES DONNEES DE SES CLIENTS.

Cette faille est potentiellement très dangereuse surtout pour un hacker qui fonctionne au niveau "Social Engineering".

Je m'explique:

Pour trouver beaucoup de message il suffit de rechercher comme ceci : http://www.google.fr/search?q=site:www.ovh.com+%22Expediteur+:%22&hl=fr&lr=&start=30&sa=N

En affinant un peu la recherche,

On trouve trés facilement avec google ceci :http://www.google.fr/search?hl=fr&q=site%3Awww.ovh.com+%22Expediteur+%3A%22+mot+de+passe&btnG=Rechercher&meta=

Prenez donc le message de support par exemple : http://www.ovh.com/fr/espaceclients/support/support.cgi?id=20110994420910293346&level=contr

On y trouve facilement les informations privées du clients, et on peut voir qu'il à  un problème de mot de passe. Avec juste ces infos, il est très simple de lui envoyer un mail (type fishing) en lui répondant qu'il y a toujours un problème avec son mot de passe, et que pour le résoudre, il doit nous communiquer son mot de passe de NIC-handle. Enfin bref, je vous assure que plus d'un clients sur 10 y croira et vous enverra gentiment son mot de passe. Pourquoi ? Et bien c'est simple, si vous recevez un mail du supposé support technique d'OVH qui vous dit (exemple simplicime):

de: anthony@supportovh.com
à: gdourel@netis.fr

Bonjour Mr dourel, suite a votre problème de mot de passe sur votre offre mut.60gp, concernant le domaine tbctoulouse.com et la base de donnée tbctoulouse, je dois vérifier le hash md5 du mot de passe que nous avons avec le votre, merci de me communiquer le mot de passe de votre nic-handle : re233-ovh

Cordialement, Anthony

Ne feriez vous pas confiance à l'envoyeur ??? (surtout pour les personnes ayant peu de connaissance technique du monde "internet" relatif à  la sécurité)

Ha tiens un truc sympa !!! Quand vous faite répondre, et affiché le source de la page, voici ce que vous pouvez trouvez de mignon :

< INPUT TYPE="HIDDEN" NAME="id_disc" VALUE="20110978619610770044">
< INPUT TYPE="HIDDEN" NAME="id_contr" VALUE="20110994420910293346">
< INPUT TYPE="HIDDEN" NAME="id" VALUE="20110994420910293346">
< INPUT TYPE=\"HIDDEN\" NAME=\"subject\" VALUE=\"Activation d\'un nouveau mot de passe\">
< INPUT TYPE=\"HIDDEN\" NAME=\"domain\" VALUE=\"tbctoulouse.com\">
< INPUT TYPE=\"HIDDEN\" NAME=\"do\" VALUE=\"save_client_answer\">
< INPUT TYPE=\"HIDDEN\" NAME=\"status\" VALUE=\"3\">

< INPUT TYPE=\"HIDDEN\" NAME=\"type_hotline\" VALUE=\"[tony]\">
< INPUT TYPE=\"HIDDEN\" NAME=\"nic\" VALUE=\"re233-ovh\">
< INPUT TYPE=hidden NAME=categorie VALUE=\'22\'>
< input type=hidden name=hotliner value=\'[tony]\'>

Ha bah tiens, de mieux en mieux ! Prenez un thread fermé comme celui ci :

http://www.ovh.com/fr/espaceclients/support/support.cgi?id=20113210814610043464&level=contr

et remplacez dans l'url level=contr par level=answer

Vous pouvez répondre au thread même si il est fermé !

En cherchant un peu, on s'apercoit aussi que dans les ID, une partit de l'id est simplement l'heure à  laquelle a été posté le message. (l'heure au format TIMESTAMP)

Par exemple pour 20113210814610043464

Vous enlevez le 20 et prenez les 10 chiffre qui suivent, soit :

1132108146 = 2005/11/16 03:29:06 (en gros l'heure a laquelle a  été posté le message à  quelques milliéme de secondes prés.)

Il ne reste plus qu'a découvrir comment son générer les autres numéros (le 20, et 10043464) et vous pourrez facilement avec un peu de brut force trouver d'autre message de support en incrémentant simplement l'heure !!!!

Enfin bon, je vais pas vous expliquer comment hacker le support d'OVH ! Mais quand j'en vois certains qui disent qu'il n'y a pas de FAILLE !!!! Ils me font doucement rire !


66 - De "Dominik (le webmaster)",  le mercredi 20 decembre 2006 à  12:13:51
@John : Rien à redire sur tes arguments si ce n'est que c'est la démonstration attendue (même la méthode de Phishing ) mais que je n'ai pas souhaité décrire trop précisément... pour des raisons évidentes. Tu enfonces le clou un peu plus. Ca fait mal... Mais c'est un mal pour du bien.

L'avenir nous dira si j'avais raison de dénoncer 'brutalement' cette faille de conception

(Cependant mon petit doigt me dit qu'OVH devrait faire le nécessaire très bientôt pour que tous ses clients puissent avoir un espace client plus sécure. Wait and see)


67 - De "Seb77",  le jeudi 4 janvier 2007 à  16:56:44
ca a toujours pas l'air d'avoir été fixé :s


68 - De "pierre",  le samedi 6 janvier 2007 à  14:42:14
ils vont se prendre une (des?) plainte dans la tronche c'est sur !



69 - De "Dominik (le webmaster)",  le vendredi 19 janvier 2007 à  00:09:33
OVH semble avoir modifier certaines choses depuis ce début de semaine...
A lire ici ma mise jour



Ajouter un commentaire... / Add a comment...

Pseudo :
Email (optionnel) :  Pour être averti d'un nouveau post, mettez votre email (non visible)
Web (optionnel) :
Votre commentaire / Your comment (les balises HTML sont désactivées) :
[ Liste des Smileys ]
[Contrôle anti-flood et anti-spam activé]
Dans certains cas particuliers, il se peut que votre post ne soit pas pris
en compte après validation... Cela peut être normal.
Faites un retour en arrière, copiez alors votre texte, rechargez la page, puis collez et re-postez ;)
Respectez la casse (les MAJUSCULES)
Recopiez le code "Captcha" suivant :



contactez-moi | qui suis-je ? | expériences créatives | news | liens



 28 visiteurs sont connectés...
©2004-2005, Fusina Dominik - All rights reserved