Bonjour,
Je tiens à avertir la communauté à propos d'un problème de confidentialité des données.
Je suis propriétaire d'un hébergement de type Plan.
Le 13 mars j'ai reçu un mail du service client d'OVH indiquant que le service FTP anonyme avait été désactivé.
J'avais des données stockées sur le FTP anonyme et j'ai demandé, puisque cela était proposé dans le mail, la récupération de mes données.
Le 15 mars à 00h02 le Support IT - Web m'a répondu que ma demande était en cours de traitement auprès de leurs administrateurs.
Le 15 mars à 23h03, j'ai reçu un mail du Support IT contenant un lien, avec un login et un mot de passe, me permettant de télécharger une archive de mes données.
Ce lien pointait vers le serveur Plik.
A mon grand étonnement lorsque j'ai voulu télécharger l'archive, le 16 mars à 9h30, j'ai eu le message suivant (avant de saisir le login et le mot de passe) :
Oops ! (404)
Upload 0pe6L32hLABndl28 has expired
Je l'ai signalé au Support IT afin que l'on me renvoie un nouveau lien valide.
J'ai reçu un second mail avec un nouveau lien, le login et un mot de passe.
Cette fois j'ai pu télécharger mon fichier sans problème.
Mais dans ce mail un nota bene a attiré mon attention : "Ce lien est téléchargeable une seule fois et valide pendant 48 heures".
Or lorsque j'ai tenté de télécharger le fichier avec le premier lien le délai de 48 heures n'était pas dépassé.
Comme j'ai eu un message d'erreur m'indiquant que le lien avait expiré avant même que je saisisse le login et le mot de passe cela démontre que je n'ai pas pu télécharger le fichier ou faire une erreur de manipulation.
De plus, l'accès à ma messagerie est protégé par un mot de passe fort qui n'est noté nulle part et que je dois saisir à chaque connexion.
Par conséquent, soit les administrateurs n'ont pas su utiliser le service Plik (ce qui me semble très étonnant), soit, et c'est malheureusement la seule explication qui s'impose, le fichier a été téléchargé par un tiers avant moi et dans ce cas cela pose évidemment un problème de confidentialité des données.
Client depuis 10 ans chez OVH, sans aucun incident à déplorer, j'avais entièrement confiance en leurs services, mais là, quelque chose s'est brisé…
Le mail aurait pu aussi être intercepté 
Oui éventuellement, mais j'accède au serveur de courrier OVH avec un compte POP et SSL.
Bonjour,
vous avez pas une solution logiciel de sécurité qui vérifie les liens et aurait déclenché un pseudo-téléchargement ?
Cordialement, janus57
Non, et puis il faut saisir un login et un mot de passe pour télécharger le fichier.
Je suppose que tant que le téléchargement n'est pas effectué correctement (avec un code réponse 200 sur le serveur) le fichier reste présent.
En tout cas je vous remercie tous les deux d'essayer de trouver des pistes auxquelles je n'aurais peut-être pas pensé. 
Bonjour,
sinon reste à voir avec le support si il ont pas mal paramétrer le premier lien par erreur (l'erreur est humaine comme on dit).
Mais si le lien avait été généré le 13 lors de votre demande mais que le support était un peu trop surchargé et n'a pas réussit à vous l'envoyer plus tôt c'est aussi un scénario possible.
Cordialement, janus57
sinon reste à voir avec le support si il ont pas mal paramétrer le premier lien par erreur (l'erreur est humaine comme on dit).
C'est possible, mais alors pourquoi m'avoir précisé le "nota bene" avec le second lien de téléchargement ?
A mon avis c'est parce qu'ils ont pensé que c'est le client (moi) qui n'a pas su télécharger l'archive.
Mais si le lien avait été généré le 13 lors de votre demande mais que le support était un peu trop surchargé et n'a pas réussit à vous l'envoyer plus tôt c'est aussi un scénario possible.
Si vous regardez attentivement la chronologie le lien a forcément été généré entre le 15 mars à 00h02 et le 15 mars à 23h03.
Et avec un délai de 48 heures, cela donnait une expiration au plus tôt le 17 mars à 00h02.
Bonjour,
>Si vous regardez attentivement la chronologie le lien a forcément été généré entre le 15 mars à 00h02 et le 15 mars à 23h03.
Par forcément vu que j'ai cru comprendre que vous aviez ouvert le ticket le 13, et malheureusement quand sur un ticket il disent qu'un admin traite la demande parfois la réponse des admins à du mal à redescendre au client (je suppose que le N1 est débordé car les temps de réponses sont plutôt long en générale)…
Cordialement, janus57
Il y a peut être aussi une erreur de copier coller dans l'URL (il manque un caractère /il y a en un en trop et etc…)
Les messages d'erreurs ne sont pas toujours méga clair.
J'ai reçu le premier mail le 13 mais j'y ai répondu le 14 à 18h18.
Donc le ticket a été ouvert au plus tôt à ce moment là. Et en ajoutant les 48 heures on arrive bien après le moment où j'ai tenté de télécharger l'archive la première fois.
D'autre part, je vous rappelle que le mail indiquant que les admins traitaient la demande date du 15 mars à 00h02.
L'erreur du copier/coller je n'y crois pas, voici pourquoi :
Première URL :
https://dl.plik.ovh/file/0pe6L32hLABndl28/kEjcB1aPj0gArNi4/archive.tar.gz
Seconde URL (celle qui a fonctionné) :
https://dl.plik.ovh/file/BG9meKEijpdPNmq4/tCKLc0bICor4ehB6/archive.tar.gz
Les deux sont identiques syntaxiquement : 16 caractères à chaque fois entre les slash avant le nom de l'archive.
De plus une erreur de copier/coller a rarement lieu au milieu de la sélection, c'est en général au début ou à la fin de la ligne.
Concernant le message d'erreur "has expired" me semble assez clair.
D'ailleurs quelques heures plus tard le message avait changé, le "has expired" était remplacé par "not found".
Bonjour @Yannick29,
Après vérification avec l'administrateur qui avait pour charge ton dossier, je te rassure, le souci était dû à l'expiration du lieu généré. En effet, le lien qui t'a été transmis était valable 24 heures et non 48 heures comme mentionné sur le mail.
Je te rassure donc, il n'y a eu aucun téléchargement au préalable.
Je te présente nos excuses pour cette coquille qui t'a induit en erreur.
Je reste disponible au besoin.
Cordialement
Guillaume F.
Bonjour @GuillaumeF,
Merci beaucoup, c'est aussi ce que j'espérais en créant ce sujet ; que l'information soit remontée aux administrateurs.
Me voilà donc rassuré et je continuerai à accorder toute ma confiance aux services d'OVH.
D'ailleurs je change le titre en : "Confidentialité des données NON compromise".
Cordialement,
Yannick
Parfait.
Et encore désolé pour la gêne occasionnée.
Si j'ai répondu à ta demande, n'hésitez pas à cliquer sur le bouton : 
Cordialement
Guillaume F.