Hack d’Olympe-Network

Publié le 24 février 2008 par Klem

Aujourd’hui, ce matin, Olympe-network a subis l’attaque de gens malintentionné ! Voici donc le message que vous pouvez voir sur le forum d’Olympe-Network.com :

Bonjour,

Dans un soucis de transparence, nous désirons
absolument clarifier notre situation aux yeux de la communauté Olympe
Network et des internautes en général. Nous allons donc faire toute la
lumière sur ce qu’il s’est passé aujourd’hui dimanche 24 février mais
également réfuter quelques idées reçues qui semblent se propager en
raison de notre manque d’explications. Tout d’abord, sachez que nous
avons pris contact avec le groupe (PCrew) qui semble être à l’origine
des deux attaques dont nous avons été victime afin d’obtenir des
explications et des conseils. Les discussions se sont bien déroulées et
nous avons pu identifier grâce à leur aide la vulnérabilité qui est à
l’origine des deux piratages et ainsi la combler rapidement (problème
dans le script PHP de gestion des quotas d’emails, il a été
temporairement désactivé ainsi que les fonctions PHP qui sont à
l’origine de la faille). Nous nous sommes dorénavant mis d’accord de se
transmettre mutuellement les informations en cas de découverte
éventuelle d’une autre faille de sécurité qui pourrait compromettre le
réseau. Cela permettra à l’avenir de sécuriser d’autant mieux notre
architecture et d’offrir un service de meilleure qualité aux
utilisateurs.

De plus, nous avons voulu couper court aux rumeurs
disant que nous n’avions qu’un seul et unique serveur et non six comme
annoncé sur notre site Internet. Comme nous l’avions déjà expliqué sur
les forums, les disques durs de nos serveurs ont été mis sous scellé à
la gendarmerie en décembre par conséquent, nous avons dû en racheter
des vierges et ainsi réinstaller nos machines entièrement. De plus,
nous changeons de centre de données (de Globalswitch vers Interxion),
il nous a donc fallu plus de temps que prévu pour la réinstallation des
serveurs. Le serveur actuel est donc temporaire (il n’y en a en effet
qu’un seul), la migration vers l’architecture finale est prévue pour
mercredi prochain, vous verrez vite la différence puisque le service
sera environ deux fois plus rapide. Cependant, nous avons également
(déja actuellement) un serveur de sauvegardes indépendant.

Pourtant,
tout cela ne signifie pas que nous n’avons pas pris la sécurité au
sérieux et que nous n’avons pas apporté des changements majeurs depuis
novembre dernier. Nous avons considérablement modifié notre système
(voir le topic à ce sujet) mais certains scripts n’ont en effet pas été
revus, nous avons suspendu tous les scripts encore non-vérifiés par
notre équipe et par un professionnel de la sécurité informatique.
Cependant, et PCrew pourra le confirmer, si notre système était resté
tel quel, ils auraient pu prendre le contrôle des machines sans aucun
problème, chose impossible aujourd’hui.

En outre, concernant
l’expert en sécurité dont nous vous parlions, nous avons bel et bien
fait appel à lui. Il s’est occupé (et continue de s’occuper) de la
sécurité des machines en elle-même afin d’assurer une prise de contrôle
impossible. Evidemment, nous avons omis de lui présenter les scripts
que nous jugions peu sensibles et nous reconnaissons là notre erreur.
Il va tout revoir, et pas seulement l’aspect serveur, également
l’aspect site Internet et confidentialité des informations.

Alors
finalement, qu’est-ce qui a été touché ? Tout d’abord, les machines
sont saines, aucun accès SSH non autorisé, ils sont en réalité
simplement parvenus à obtenir au mot de passe MySQL, qui leur a ensuite
permis de naviguer dans notre base de données, de modifier notre mot de
passe FTP et de changer ainsi les pages de notre portail. Evidemment,
tous les mots de passe ont maintenant été changés, nous vous
conseillons par ailleurs de faire de même en cas de fuite éventuelle.

Pour
terminer, je dirais simplement qu’il y a peut-être d’autres manières
moins “voyantes” de communiquer avec les administrateurs pour leur
expliquer qu’une vulnérabilité a été découverte… Chacun jugera du
mode d’intervention du PCrew pour cette fois-ci. Nous allons maintenant
nous remettre au travail comme nous l’avons toujours fait car malgré
tout, personne ici ne peut s’imaginer les heures de travail que réclame
la gestion d’un service comme celui d’Olympe Network.

Merci de votre compréhension et de votre confiance.

Très cordialement,
Samuel

Il y’a donc pu y avoir quelque coupure du site pour des changements de mot de passe etc…