Non classé

Fuite massive chez OVHcloud ?1,6 million de clients et 5,9 millions de sites potentiellement exposés

26 mars 2026
Veritatis


🔴 Alerte cybersécurité — 24 mars 2026

Un acteur malveillant revendique l’exfiltration de 590 téraoctets de données. OVHcloud reste silencieux. Voici ce que l’on sait.

⚠️ Avertissement : La situation reste contradictoire : l’échantillon public est jugé non attribuable par Cybernews, mais des témoignages de victimes et une confirmation de l’attaquant subsistent. Dernière mise à jour : 24 mars 2026, 19h40.

🔴 Mise à jour — 24 mars 2026, 19h40

Développements majeurs : le fondateur d’OVH nie, mais l’attaquant confirme et des victimes témoignent

⛓️ Impact blockchain : 20 % des nœuds Ethereum hébergés chez OVH

Le projet Obol Collective révèle que jusqu’à 20 % des nœuds de la couche de consensus Ethereum tournent sur l’infrastructure OVH (source : ethernodes.org). Une dimension critique qui dépasse largement la seule question des données personnelles.

🏢 Réaction d’Octave Klaba, fondateur d’OVHcloud

Le fondateur a répondu publiquement sur X en affirmant que « le sample cité ne se trouve pas dans nos bases ». Une dénégation partielle et très ciblée : il nie l’authenticité de l’échantillon diffusé, mais ne nie pas explicitement qu’une intrusion ait eu lieu. Clubic et d’autres médias tech ont relayé cette réaction comme une première prise de position officielle.

💬 Exclusif — Interview du contact de l’annonce

Contacté par Liberta Press directement via l’article publié en réponse à son annonce, l’intermédiaire de la vente a répondu sans détour à 18h34 :

« This breach is real, but we don’t intend to sell to just anyone or leak our data; that would cause too much global damage, which is not what we want. But money, yes. »

Traduction : « Cette fuite est réelle, mais nous n’avons pas l’intention de vendre à n’importe qui ni de diffuser les données publiquement ; cela causerait trop de dommages à l’échelle mondiale, ce n’est pas ce que nous voulons. Mais l’argent, oui. »

Point critique : Il indique également que trois acheteurs ont déjà acquis des données lors de la transaction initiale — ce qui, si confirmé, signifie que des tiers inconnus détiennent déjà des lots de données.

🚨 Victimes qui témoignent : des domaines détournés

Sur X, l’utilisateur @ArchTaqi rapporte un incident concret et grave : « les serveurs DNS et l’e-mail de compte de son domaine ont été modifiés par des hackers sans son autorisation, et le code de transfert (auth code) ne fonctionne plus ». Ce type de prise de contrôle de domaine est précisément le scénario redouté lorsqu’un accès à un compte parent d’hébergeur est compromis. Ce témoignage de victime directe est le signal le plus préoccupant à ce stade.

🔬 Analyse Cybernews : l’échantillon ne prouve rien

Les chercheurs de Cybernews ont analysé l’échantillon diffusé publiquement et leur verdict est nettement plus sceptique : les données présentées ne contiennent aucun indice permettant de les attribuer avec certitude à OVHcloud — elles pourraient provenir de n’importe quelle autre source.

Le fait qu’une seule ligne de données ait été fournie comme « preuve » — alors que la revendication porte sur 590 To — est jugé hautement insuffisant. Cybernews évoque explicitement l’hypothèse d’un scam financier : une fausse fuite montée pour soutirer de l’argent à des acheteurs sur des forums cybercriminels, une pratique documentée et en hausse en 2025-2026.

Verdict Cybernews : « non confirmé et hautement suspect »

📊 Lecture de la situation : La contradiction entre la dénégation de Klaba (sur l’échantillon uniquement), l’analyse de Cybernews (échantillon non attribuable), et la confirmation de l’attaquant + les témoignages de victimes crée une zone d’ambiguïté très inquiétante. Il est possible que l’échantillon diffusé publiquement soit falsifié ou ancien, tandis que les données réellement vendues aux 3 acheteurs soient authentiques — une tactique classique pour brouiller les pistes.

Le 23 mars 2026, une annonce choc a circulé sur des forums spécialisés dans le cybercrime : un acteur malveillant affirme avoir extrait des quantités colossales de données chez OVHcloud, le champion français de l’hébergement et du cloud computing. Si la revendication s’avère exacte, il s’agirait de l’une des plus importantes fuites de données jamais enregistrées en Europe.

1. Ce que revendique l’attaquant

L’annonce mentionne un accès à un « compte parent » d’OVHcloud ainsi qu’à des serveurs associés. Les données prétendument exfiltrées se répartissent en trois grandes catégories :

👤 1,6 million de fiches clients

Nom, prénom, numéro de téléphone, adresse électronique, code postal, ville et adresse postale. Un échantillon concret de données d’un particulier français a été diffusé publiquement en guise de preuve.

🌐 5,9 millions de sites web actifs

Code source complet, bases de données, médias et configurations serveur — avec possibilité de recherche ciblée par site ou par client, ce qui rendrait l’exploitation particulièrement redoutable.

🖥️ Configurations serveurs régionales

Détails techniques par région géographique, notamment Europe et États-Unis, représentant un total revendiqué de 590 téraoctets répartis en plusieurs lots.

Capture d'écran de l'annonce de la prétendue fuite OVHcloud sur un forum cybercriminel
Capture de l’annonce publiée le 23 mars 2026, montrant l’échantillon de données et l’arborescence des fichiers prétendument exfiltrés. Source : capture publique circulant en ligne.

La mise en vente est proposée sans prix plancher, avec une commission de 30 % reversée aux intermédiaires — un modèle courant sur les forums de cybercriminalité. Seul un lot est actuellement commercialisé, selon les informations disponibles.

🔍 Mise en perspective : À titre de comparaison, la fuite chez Yahoo en 2016 avait concerné 3 milliards de comptes, celle de LinkedIn en 2021 environ 700 millions d’utilisateurs. 1,6 million de clients d’un hébergeur européen avec les codes sources de leurs sites hébergés représente un risque de compromission en cascade bien plus grave que de simples données de contact.

2. OVHcloud en bref : un géant européen sous pression

OVHcloud, fondée en 1999 à Roubaix (Nord, France) par Octave Klaba, s’est imposée comme le premier fournisseur de cloud indépendant d’Europe. Son modèle repose sur une intégration verticale rare : conception de ses propres serveurs, gestion de ses data centers et exploitation d’un réseau fibre optique mondial.

1,6M

clients dans +140 pays

500K

serveurs en exploitation

46

data centers sur 4 continents

+6%

croissance organique T1 FY2026

En janvier 2026, OVHcloud avait renforcé sa posture de sécurité avec l’acquisition de Seald, une startup française spécialisée dans le chiffrement de bout en bout, et lancé un agent de sauvegarde gratuit pour ses clients Bare Metal. Des certifications de référence — ISO 27001 et SecNumCloud (qualification ANSSI) — étaient mises en avant.

Un historique d’incidents à ne pas oublier

OVHcloud n’en est pas à sa première épreuve. En mars 2021, l’incendie spectaculaire du data center SBG2 à Strasbourg avait détruit des infrastructures entières et entraîné des pertes définitives de données pour des milliers de clients — dont certains n’avaient aucune sauvegarde externe. L’incident avait conduit à des procédures judiciaires et à des indemnisations. Des attaques par déni de service (DDoS) d’une ampleur record ont également frappé l’entreprise à plusieurs reprises.

3. Risques immédiats pour les clients

Si la violation est confirmée, les conséquences pourraient être dévastatrices — et différentes selon le profil du client concerné.

👤 Pour les particuliers

  • Exposition d’identité complète (nom, adresse, téléphone, e-mail)
  • Risque accru de phishing personnalisé et d’usurpation d’identité
  • Harcèlement ciblé rendu possible par la précision des données

🏢 Pour les entreprises et les indépendants

  • Fuite du code source — potentiel vol de propriété intellectuelle
  • Accès aux bases de données clients hébergées → risque de ransomware ciblé
  • Exploitation des configurations serveurs pour des attaques en profondeur
  • Atteinte à la réputation vis-à-vis de leurs propres clients

⛓️ Un risque insoupçonné : jusqu’à 20 % des nœuds Ethereum hébergés chez OVH

Le projet Obol Collective (@Obol_Collective), spécialisé dans la validation distribuée sur Ethereum, a publié une donnée saisissante : selon ethernodes.org, jusqu’à 20 % des nœuds de la couche de consensus Ethereum seraient hébergés chez OVH.

Si la fuite se confirme et que des configurations serveurs sont compromises, c’est une part non négligeable de l’infrastructure critique d’Ethereum qui pourrait être exposée — avec des risques de perturbation pour les validateurs, les stakers et potentiellement la stabilité du réseau. Obol appelle d’ailleurs à accélérer la décentralisation vers des validateurs hébergés localement (home validators) pour réduire cette dépendance.

⚖️ Angle réglementaire : le RGPD en jeu

Le Règlement Général sur la Protection des Données (RGPD) impose à tout responsable de traitement de notifier toute violation présentant un risque pour les droits des personnes concernées dans un délai de 72 heures à la CNIL (en France). À ce stade, aucune notification publique n’a été émise. Le délai réglementaire court déjà.

4. OVHcloud réagit enfin — mais la réponse soulève de nouvelles questions

Après des heures de silence total, Octave Klaba, fondateur d’OVHcloud, a finalement pris la parole sur X en réponse à une publication présentant l’annonce du forum et son échantillon de données. Sa réponse, très concise, indique que « le sample cité ne se trouve pas dans nos bases ».

Cette dénégation mérite d’être analysée avec soin : Klaba nie spécifiquement l’échantillon diffusé publiquement, pas l’intrusion elle-même. Aucun communiqué officiel, aucune notification CNIL, aucune alerte aux clients n’ont été émis à ce stade. Clubic a relayé cette réaction comme première prise de position officielle, tout en soulignant qu’elle ne dissipe pas les doutes.

🔬 L’analyse indépendante de Cybernews : un sérieux bémol

Les chercheurs de Cybernews, après analyse de l’échantillon diffusé publiquement, concluent qu’il ne contient aucun marqueur permettant d’attribuer les données à OVHcloud avec certitude. Une seule ligne de données pour revendiquer 590 téraoctets est un ratio qu’ils qualifient d’hautement insuffisant et suspect.

Ils soulèvent l’hypothèse d’un exit scam : une pratique documentée sur les forums cybercriminels où un acteur fabrique une fausse fuite crédible pour encaisser des paiements d’acheteurs, sans jamais livrer de données réelles. La présence d’un intermédiaire touchant 30 % de commission renforce cette hypothèse.

5. Que faire si vous êtes client OVHcloud ?

En attendant une communication officielle, voici les mesures de précaution à appliquer dès maintenant, par ordre de priorité :

  1. Changez immédiatement vos mots de passe — compte OVHcloud, panneau d’administration de votre hébergement, et tous les services connexes (CMS, bases de données, FTP).
  2. Activez l’authentification à deux facteurs (2FA) partout où c’est possible, en priorité sur votre compte OVHcloud.
  3. Surveillez vos comptes bancaires et vos adresses e-mail pour détecter toute activité suspecte ou tentative de phishing personnalisé.
  4. Contactez le support OVHcloud pour exiger des précisions sur la sécurité de vos données hébergées.
  5. Pour les sites web : auditez vos journaux d’accès (logs) et, si des données sensibles sont en jeu (données clients, e-commerce…), envisagez une migration temporaire vers un environnement isolé.
  6. Informez vos propres clients si vos services hébergent leurs données personnelles — votre obligation de transparence peut être engagée.

💡 Conseil supplémentaire : Si vous utilisez le même mot de passe OVHcloud sur d’autres services (messagerie, réseaux sociaux, banque), changez-les également immédiatement. Un gestionnaire de mots de passe comme Bitwarden ou 1Password vous aidera à sécuriser l’ensemble de vos accès.

6. Conclusion

Si cette revendication se confirme, elle constituerait l’une des violations de données les plus importantes jamais enregistrées en Europe — touchant simultanément des millions de particuliers et d’entreprises. Elle pose une question de fond sur la capacité du leader européen du cloud à protéger les infrastructures qu’il héberge.

Dans un contexte où la souveraineté numérique française et européenne est régulièrement mise en avant comme argument commercial et politique, cet épisode rappelle une vérité simple : la confiance ne se décrète pas, elle se prouve — surtout face aux menaces réelles. Les clients, les autorités de régulation (CNIL, ANSSI) et les observateurs attendent désormais une réponse claire, rapide et transparente d’OVHcloud.

📡 À suivre : Toute communication officielle d’OVHcloud, toute notification à la CNIL ou toute vérification indépendante de l’échantillon de données sera déterminante pour évaluer l’ampleur réelle de cet incident. Revenez régulièrement consulter cet article, qui sera mis à jour dès que de nouvelles informations fiables seront disponibles.

7. Sources

  1. Annonce originale de la revendication — canal Telegram BreachedSupp (consultée le 24 mars 2026)
  2. Site institutionnel OVHcloud — actualités et résultats financiers 2026
  3. Communiqué de résultats du T1 FY2026 — OVHcloud
  4. Acquisition de Seald par OVHcloud — janvier 2026
  5. Réponse d’Octave Klaba (fondateur OVH) sur X — 24 mars 2026
  6. Clubic — « OVH piraté ? Pas vraiment, si l’on en croit le fondateur Octave Klaba » (24 mars 2026, 16h16)
  7. Témoignage de @ArchTaqi sur X — détournement de domaine signalé le 24 mars 2026
  8. @Obol_Collective sur X — 20 % des nœuds Ethereum consensus layer hébergés chez OVH (source : ethernodes.org)
  9. Cybernews — analyse de l’échantillon diffusé : données non attribuables à OVHcloud, hypothèse de scam financier (24 mars 2026)
  10. Documentation historique OVHcloud sur l’incendie de Strasbourg (2021) et les certifications de sécurité (ISO 27001, SecNumCloud/ANSSI)

Article publié le 24 mars 2026 — Dernière mise à jour : 24 mars 2026, 19h40



Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *