Bonjour,
J'ai recu un mail d'OVH hier me disant qu'ils avaient modifié le fichier wp-config.php.
Le voici:
"Comme annoncé le 20/05/2021, une opération concernant les hébergements web mutualisés, ainsi que les bases de données associées vient d'avoir lieu sur votre hébergement xxxxxxxxxx.com.
Depuis 2017, nous avons décidé de changer progressivement le nommage réseau des bases de données, afin de vous offrir la meilleure qualité de service possible.
Nous avons continué à supporter les anciens nommages, afin de maintenir votre site web opérationnel sans aucune action de votre part.
Dans un souci d'amélioration continue de la qualité et de la sécurité de nos services, il est désormais temps d'arrêter de supporter les anciens nommages réseau de votre base de données qui peuvent être de la forme adresse IP (xy.xy.xy.xy) ou nom de serveur (mysqlblablabla.pro)
Nous venons donc de remplacer mysqlblablabla.pro par yyyyyyyyyyy.mysql.db dans le fichier /www//wp-config.php. Une sauvegarde de votre fichier de configuration est disponible ici: xxxxx
D'ici quelques mois, nous n'autoriserons plus que les noms de la forme .mysql.db
Nous vous remercions pour la confiance que vous nous accordez et restons à votre disposition.
L'équipe OVHcloud"
J'ai vérifié et la modification a bien eu lieu: ils ont renommé le hostname de la base de donnée de mon site dans le fichier wp-config.php.
Ca me surprend beaucoup qu'OVH ait la main sur mes fichiers: c'est mon site !
Un comportement que j'aurais mieux compris, et approuvé, aurait été qu'ils me demandent de faire la modification moi-même, en m'offrant eventuellement la possibilité d'accepter explicitement qu'ils le fasse pour moi apres m'en avoir demandé l'autorisation, mais la, c'est clairement pas le cas.
Quid du respect de mes données ? Hébergées chez eux certes, mais ce sont mes données.
Ils ont le droit (ou l'ont-ils pris ??) de modifier mes données sans mon accord ?
Dans le fichier wp-config.php je vois des noms d'utilisateur et des mots de passe non chiffrés, écrits en clair : si OVH a pu modifier ce fichier, cela veut dire aussi qu'ils ont libre accés a mes données, je trouve ca dérangeant.
Désolé pour cette remarque de noob en la matière, vous allez peut-être me trouver naïf, mais jusqu'a maintenant je pensais être seul "propriétaire" de mes données hébergées chez OVH, et être le seul a y avoir un droit d'accés et de modification: je me rends compte que non et c'est très dérangeant.
Je n'héberge rien d'extraordinaire, mais la question n'est pas la: je me sens dépossédé de la propriété de mes données, c'est ca qui me pose problème, j'espère que vous comprenez.
D'avance merci pour vos réactions et commentaires.
OVH modifie mon site sans mon autorisation ?!
Related questions
- Connexion à mon compte client
157046 
13.02.2019 09:51
- Serveur non sécurisé, celui-ci ne supporte pas FTP sur TLS
128090 03.09.2018 14:46
- reCAPTCHA erreur pour le propriétaire du site : clé de site non valide
112372 14.02.2019 16:17
- [FAQ] Comment mettre à jour mon site pour supporter Apache 2.4 ?
99551 28.07.2017 11:39
- Passage en php 7.4
98838 30.06.2020 05:05
- Augmenter taille PHP Post Max Size sur mutualisé ?
93127 04.12.2019 21:52
- Deploy d'un projet Node JS
92186 12.10.2016 20:18
- The requested URL / was not found on this server
92179 02.03.2017 18:25
- Ce site est inaccessible Impossible de trouver l'adresse DNS du serveur
92022 16.10.2016 16:24
- NextCloud sur mutualisé
92001 07.04.2017 08:42
Bonjour,
comme déjà expliqué sur un autre post cela fait plusieurs années que cette bascule aurais dû être fait par les clients, là OVH a juste décidé d'accélérer les choses car pas de réactions et/ou ce sont des anciens "module en 1clic".
bah par définition et techniquement : non
non car OVH vous fourni un espace de stockage, des ressources et du réseau et il doit être capable de scanner/analyse votre espace de fichiers.
comme tous les CMS et comme le fait que a un moment donnée ce mot de passe a été mis dans le manager OVH pour qu'il soit appliqué à votre BDD.
si c'est fait par un script qui cherche un pattern spécifique (ici l'ancienne adresse à remplacer par la nouvelle) et qui logs les actions effectué : oui c'est possible si cela modifie une donnée technique (et non si cela touche a une autre donnée).
cela ne change rien, vous êtes toujours le "propriétaire" des dit fichiers (dans la limite du droit), par contre OVH a un droit de regard dessus car c'est votre hébergeur.
Si demain OVH reçoit un ordre de justice pour remettre une copie de votre site/bdd a un tribunal ils vont s’exécuter car c'est un hébergeur.
Idem si demain quelqu'un rapporte une page de phishing (ou plus grave) sur votre site, il peuvent vérifier si c'est vrai ou non et le cas échéant prendre les mesures nécessaire.
Si les modifications avais été faite avant le passage du script je pense qu'il n'aurais rien fait (cela fait un petit moment que OVH avais prévenu de ces modifications, Cf : http://travaux.ovh.net/?do=details&id=50340& + https://community.ovhcloud.com/community/fr/connection-aux-bases-de-donnees-des-modules-one-click?id=community_question&sys_id=bdd539c0e5d286d02d4c0165b3e7669b)
Si vous voulez vraiment à 100% que vous soyez le seule a avoir accès à vos données c'est un serveur dédié et le cout n'est pas le même (les compétences pour l'administrer non plus), et légalement vous êtes responsable de l'activité de votre serveur.
Cordialement, janus57
Bonjour,
Effectivement, @janus57 a raison:
La modification est faite par un robot, qui effectue plusieurs vérifications, et ne remplace qu'une donnée technique (Le hostname de la base de données à laquelle le site doit se connecter). C'est effectivement automatisé. Nous avons plusieurs centaines de milliers de sites à vérifier !
Aussi, comme écrit par @janus57, si les modifications avaient été faites avant le passage du script, aucune modification n'aurait été faite automatiquement.
Je rappelle ici le fonctionnement du processus dans les grandes lignes.
1. Un robot identifie une base de donnée qui passe par un de nos proxy sql.
2. Le web associé est scanné par un autre robot. Il essaye de déterminer le fichier contenant les informations de connexion. Si un hostname correspondant à un des anciens hostnames de serveur sur lequel a été votre base de données est détecté (Par exemple mysql55-152.pro, mysql51-42.business, …) ou une IP associée à ces noms, alors un e-mail vous est envoyé pour vous prévenir de l'imminence de la modification.
3. Au minimum 30 jours plus tôt, le robot effectue une nouvelle fois sa batterie de tests. Si les résultats sont identiques, alors:
* Une sauvegarde du fichier est effectuée et est conservée un an
* La modification est effectuée
* Un e-mail vous en informant vous est alors envoyé, contenant le lien vers votre sauvegarde.
* Votre hébergement est maintenant corrigé et nous n'y revenons plus.
Si vous avez effectué les modifications vous même, alors le robot le verra et ne fera rien, puisque c'est déjà fait !
Nous avons opté pour l'automatisation afin de vous faciliter l'hébergement.
La modification se fait dans la transparence, vous savez ce qu'il s'y passe.
Plus de détails ici : https://community.ovhcloud.com/community/fr/connection-aux-bases-de-donnees-des-modules-one-click?id=community_question&sys_id=bdd539c0e5d286d02d4c0165b3e7669b
N'hésitez pas à y poser vos questions.