Mozilla divulgue accidentellement les mots de passe de 44 000 comptes
Liés à son catalogue d'extensions
Le 2010-12-29 12:38:05, par Idelways, Expert éminent sénior
La fondation Mozilla a malencontreusement exposé les mots de passe d'environ 44 000 comptes utilisateurs de son catalogue d'extensions en laissant une sauvegarde d'une base de donnée dans un espace web publique.
La fondation assure avoir pris depuis les précautions nécessaires pour que cet accident ne puisse pas avoir d'effet néfaste.
Seuls des comptes créés avant le 9 avril 2009 sont touchés. Les mots de passe étaient jusqu'à cette date chiffrés avec l'algorithme de hachage MD5. Depuis, ces comptes ont été désactivés et leurs mots de passe effacés de la base de donnée de production. Les utilisateurs concernés auraient été prévenues par e-mail afin de choisir éventuellement d'autres mots de passe et réactiver ainsi leurs comptes.
Les comptes créés après cette date ne seraient donc pas touchés vu qu'ils sont chiffrés avec un algorithme plus sûr (SHA-512) et en utilisant la technique du grain-de-sel (qui consiste à ajouter un préfixe ou suffixe au mot de passe avant son Hashage pour prévenir les attaques de type dictionnaire ou de force brute).
Bien que la fondation ait été prévenue discrètement de l'existence de cette fuite par un chercheur en sécurité, elle a préféré rendre publique cette affaire par mesure de précaution. Un effort de transparence que l'on ne peut que saluer.
En attendant peut-être qu'une icône soit insérée sur le site de Mozilla, avertissant les utilisateurs que leurs mots de passe pourront être mis publiquement à la disposition de tous.
Une boutade (injuste) bien sûr, pour rappeler la (louable) initiative de Aza Raskin qui propose au W3C des icône de signalétique à afficher sur les sites webs pour que ceux-ci clarifient et communiquent leurs politiques concernant la confidentialité des données récoltés sur les visiteurs.
Source : le blog de sécurité de Mozilla
En collaboration avec Gordon Fowler
La fondation assure avoir pris depuis les précautions nécessaires pour que cet accident ne puisse pas avoir d'effet néfaste.
Seuls des comptes créés avant le 9 avril 2009 sont touchés. Les mots de passe étaient jusqu'à cette date chiffrés avec l'algorithme de hachage MD5. Depuis, ces comptes ont été désactivés et leurs mots de passe effacés de la base de donnée de production. Les utilisateurs concernés auraient été prévenues par e-mail afin de choisir éventuellement d'autres mots de passe et réactiver ainsi leurs comptes.
Les comptes créés après cette date ne seraient donc pas touchés vu qu'ils sont chiffrés avec un algorithme plus sûr (SHA-512) et en utilisant la technique du grain-de-sel (qui consiste à ajouter un préfixe ou suffixe au mot de passe avant son Hashage pour prévenir les attaques de type dictionnaire ou de force brute).
Bien que la fondation ait été prévenue discrètement de l'existence de cette fuite par un chercheur en sécurité, elle a préféré rendre publique cette affaire par mesure de précaution. Un effort de transparence que l'on ne peut que saluer.
En attendant peut-être qu'une icône soit insérée sur le site de Mozilla, avertissant les utilisateurs que leurs mots de passe pourront être mis publiquement à la disposition de tous.
Une boutade (injuste) bien sûr, pour rappeler la (louable) initiative de Aza Raskin qui propose au W3C des icône de signalétique à afficher sur les sites webs pour que ceux-ci clarifient et communiquent leurs politiques concernant la confidentialité des données récoltés sur les visiteurs.
Source : le blog de sécurité de Mozilla
En collaboration avec Gordon Fowler
-
tbarryMembre du ClubCelui qui l'a découvert n'est pas nécessairement gagnant car ceci n'était pas un bug ni une faille de sécurité, je veux dire ce n'est pas parce qu'il y a un programme qui est mal foutu que tous ça est arrivé; je dirai que c'est un problème d' "administration"
Le programme de Mozilla récompensant les découvertes de failles de sécurité étendu aux applications web, 3000$ offerts pour un bug "extraordinaire"le 29/12/2010 à 13:48 -
CeliraModératriceAutrement dit, ce que nous avons là, c'est le bug bien connu de l'interface chaise-clavierle 29/12/2010 à 16:25
-
NekoMembre chevronnéJe suppose donc qu'ils ont leur grand gagnantle 29/12/2010 à 13:10
-
Jean-Philippe DubéMembre éméritePour ma pars, je félicite Mozilla qui a su agir de manière juste et transparente. Il est impossible d'être à l'abrie de l'erreur humaine, mais les entreprises ont trop souvent tendence à étouffer ce genre d'affaires pour sauver leur "image".le 08/01/2011 à 7:03
-
jayfazeMembre actifbah ca arrive hein
Enfin ca m'etone quand meme que mozilla stockait ses mot de passe avec juste md5 sans salage avant 2009le 29/12/2010 à 13:32 -
minnesotaMembre émériteVu les messages, on peut dire que tout le monde
Mozilla. le 08/01/2011 à 8:15 -
thithi83Membre habituéle 08/01/2011 à 8:31
-
mptijrMembre confirméje préfère la franchise de mozilla par rapport ....................... suivez mon regard.
vraimentcomme navigateur. le 13/01/2011 à 11:31 -
programaniacMembre régulierJ'ai l'impression que ça cache quelque chose tout ça lolle 31/12/2010 à 18:04
-
thithi83Membre habitué
Envoyé par Envoyé par Celira
Question cruciale, car il n'est pas rare de trouver des coquilles vides !
Publier des mots de passe..............................................
Gros problème d'administration... Changer d'administrateur ?
Ce n'est pas évident dans les projets bénévoles...
S'attaquer à la cause:
Arrêter de gérer des fichiers de mots de passe permet d'éviter de tels problèmes. Engueuler publiquement l'idiot qui a fait la bourde n'est pas forcément une solution pérenne... Lui expliquer les conséquences de ses actes serait une démarche plus professionnelle.
Cdltle 07/01/2011 à 19:17