• # OVH et sécurité

    Posté par . En réponse au journal Let's Encrypt, OVH et la sécurité. Évalué à 3.

    L'autre jour, j'auditais un problème de sécurité dans une société, son site avait été hacké et ils étaient hébergés chez OVH. Je découvre que l'attaquant était passé par la base de données et par quelques failles venant du site. Je colmate le tout et je décide de changer tous les mots de passe.

    Stupeur, les mots de passe de base de données mutualisées étaient limitées à 8-12 caractères avec des règles de nomenclatures stupides et totalement pas sécurisées (et probablement sauvegarder le mot de passe en clair). Il a fallu un petit débat avec le support qui ne comprenait pas le problème. On m'a dit que depuis, ils avaient modifié cette règle sur les DBs mutualisées: A confirmer, je n'ai aucun compte chez eux.