Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Mozilla reconnait que Bugzilla a été victime d'un piratage
Et que des données sensibles relatives à la sécurité ont été subtilisées

Le , par Stéphane le calme

0PARTAGES

9  0 
Mozilla a donné des détails sur l’attaque menée contre Bugzilla, son outil de tests et de suivi des bugs, qui a permis aux pirates de dérober des données sensibles. « Nous pensons qu’ils ont utilisé ces données pour attaquer les utilisateurs Firefox », a avancé Richard Barnes de Mozilla, qui a assuré par la suite que la Fondation a « mené une enquête sur cet accès non autorisé et nous avons mené différentes actions pour contrer cette menace immédiate. Nous implémentons également des améliorations dans Bugzilla pour améliorer la sécurité de nos produits, notre communauté de développeurs, mais aussi nos utilisateurs ».

Si Bugzilla est un logiciel open source qui a été adopté par de nombreuses organisations, l’accès aux informations sensibles de sécurité est réservé afin que seules certaines personnes bénéficiant des privilèges adéquats puissent y accéder. Après l’attaque, « le compte qui a été piraté a été fermé peu de temps après que Mozilla ait découvert qu’il a été compromis ». Mozilla pense que les pirates ont utilisé des informations de Bugzilla pour exploiter une faille dans la sécurité de son navigateur Firefox qui a été colmatée le 06 août dernier, un jour après qu’elle ait été portée à la connaissance de la Fondation.

Mozilla a expliqué que la dernière version de Firefox (Firefox 40.0.3, qui a été publiée le 27 août) intègre un correctif de « toutes les vulnérabilités dont le pirate a eu connaissance et pourrait avoir utilisé pour attaquer des utilisateurs Firefox ».

Mozilla a pris des séries de mesures supplémentaires en dehors de fermer le compte qui a été piraté : « nous mettons à jour les pratiques de sécurité sur Bugzilla afin de réduire le risque de futures attaques de ce type. Tout d’abord, prenant effet immédiatement, tous les utilisateurs qui ont accès à des informations sensibles de sécurité ont été invités à changer leurs mots de passe et à se servir de l’authentification à deux facteurs. Nous réduisons le nombre d’utilisateurs avec des accès privilégiés et limitons également ce que chaque utilisateur privilégié peut faire. En d’autres termes, nous compliquons la tâche à un attaquant, limitant les possibilités d’effractions et réduisant la quantité d’informations qu’un attaquant pourrait obtenir s’il réussissait tout de même ».

Dans une FAQ, Mozilla révèle que le compte compromis avait accès à 185 bugs ; 110 étaient en mode protégé pour des raisons autres que la sécurité logiciel (par exemple des informations propriétaires), 22 étaient des failles avec un impact considéré comme mineur et 53 étaient classés parmi les vulnérabilités sévères. Seules 43 vulnérabilités sur les 53 sévères ont été colmatées dans la version de Firefox qui a été publiée au moment où le pirate en a pris connaissance, « les informations sur ces bugs n’auraient probablement pas pu être utilisées pour lancer une attaque contre les utilisateurs Firefox ». Cependant, Mozilla reconnait qu’il est techniquement possible que les 10 bugs restants aient pu être utilisés pour lancer une attaque contre les utilisateurs Firefox.

La faille qui aurait pu causer le plus de dégâts aux utilisateurs Firefox a été colmatée le 06 août dernier. « Nous savons qu’une attaque exploitant cette vulnérabilité a été utilisée pour recueillir des données personnelles d’utilisateurs de Firefox qui se sont rendus sur un site d’informations basé en Russie », a expliqué Mozilla.

Source : blog Mozilla, FAQ Mozilla (au format PDF)

forum Firefox

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de earhater
Membre éclairé https://www.developpez.com
Le 06/09/2015 à 16:07
@NSKis : il faudrait se calmer un petit peu, cette histoire n'a rien à voir avec le cloud puisqu'il s'agit à priori d'un compte avec des privilèges qui a été compromis. Le truc que je déplore dans cette histoire, c'est que ce sont les utilisateurs qui vont encore en baver je vois passer sur le deep web des scripts de piratages par des failles 0 day à des prix exorbitants ...
2  1 
Avatar de Jarodd
Membre expérimenté https://www.developpez.com
Le 06/09/2015 à 19:28
Citation Envoyé par NSKis Voir le message
Vive le CLOUD!!!
Vive ceux qui répondent sans lire l'actu avant !!!

Mozilla a vite réagi en bloquant le compte compromis, cela a peut-être évité plus de dégâts. Et heureusement, Firefox a ausi rapidement été mis à jour pour colmeter les failles listés dans les bugs visités. Le risque zéro n'existe pas (et c'est encore une fois un PEBKAC qui en est la cause, peut-être un mot de passe trop peu sécurisé ?), et cela fait quand même plaisir de fois que quand il y a un trou dans la raquette, l'incident est vite contenu et les décisions rapidement prises pour éviter sa propagation. D'autres éditeurs ne peuvent pas se targuer de ses qualités...
2  1 
Avatar de tomlev
Rédacteur/Modérateur https://www.developpez.com
Le 07/09/2015 à 10:32
Ce serait peut-être l'occasion de remplacer Bugzilla par un truc un peu plus moderne... quand je veux signaler un bug sur Firefox, j'ai l'impression d'être revenu en 1995
0  0 
Avatar de Squisqui
En attente de confirmation mail https://www.developpez.com
Le 07/09/2015 à 15:59
Citation Envoyé par tomlev Voir le message
Ce serait peut-être l'occasion de remplacer Bugzilla par un truc un peu plus moderne... quand je veux signaler un bug sur Firefox, j'ai l'impression d'être revenu en 1995
Bugzilla étant maintenu et développé par Mozilla, je doute qu'ils existe une solution qui conviennent mieux.
0  0 
Avatar de tomlev
Rédacteur/Modérateur https://www.developpez.com
Le 07/09/2015 à 20:59
Citation Envoyé par Squisqui Voir le message
Bugzilla étant maintenu et développé par Mozilla, je doute qu'ils existe une solution qui conviennent mieux.
Oui je suppose que ça correspond bien à leur besoin, mais n'empêche que c'est très moche, pas clair du tout et pas ergonomique pour un sou
0  0 
Avatar de ericduval
Membre actif https://www.developpez.com
Le 11/09/2015 à 9:53
Pour répondre à NSKis,
quelques suicides de maris pris la main dans le sac... ou plutôt dans le slip d'une autre
On peut aussi écrire : [...] ou plutôt dans le slip d'un autre [...]

Histoire que l'information soit complète et pour ne pas oublier la parité

Bon je sors.
0  0 
Avatar de Squisqui
En attente de confirmation mail https://www.developpez.com
Le 14/09/2015 à 17:44
Citation Envoyé par mapmip Voir le message
Rien à voir avec FireBug, j'espère ?
À peu près autant que la choucroute
0  0 
Avatar de mapmip
Membre averti https://www.developpez.com
Le 14/09/2015 à 15:46
Rien à voir avec FireBug, j'espère ?
0  1 
Avatar de NSKis
En attente de confirmation mail https://www.developpez.com
Le 06/09/2015 à 15:51
Vive le CLOUD!!!

Il n'y a plus une semaine où une société "technologique" ne doit pas avouer s'être fait voler ses données et celles de ces clients (un jour on apprend que 4 hackers se sont fait arrêtés après avoir eu accès aux 7 millions de comptes d'entreprises et de privés d'une banque américaine, un autre jour, c'est un site US proposant du "cul hors mariage" qui se voit voler la liste de ces 32 mio de clients (avec pour conséquence, quelques suicides de maris pris la main dans le sac... ou plutôt dans le slip d'une autre) ...

Et pourtant, il y a toujours des mecs sur ce forum pour glorifier le cloud, le "pompage" de données privées par Win10 et autres joyeusetés

Le monde est vraiment extraordinaire!
1  7