Mozilla a récemment dû faire face à un épineux problème de sécurité : son logiciel Bugzilla a été piraté et des données sensibles sur des failles de Firefox dérobées. Le navigateur a depuis été patché et de nouvelles mesures de sécurité ont été mises en place.
L'équipe en charge de la sécurité chez Mozilla a publié un billet de blog afin d'expliquer que Bugzilla, son logiciel libre de suivi et de gestion de bugs, avait été piraté il y a quelque temps. Un attaquant (dont l'origine n'a pas été précisée) a accédé à un compte utilisateur avec un haut niveau de privilèges afin de récupérer des données sensibles concernant Firefox.
Mozilla ne précise par contre pas exactement quand cela a eu lieu.
Des informations sur des failles non colmatées
Au-delà des simples bugs qui sont sans gravité pour la sécurité, dans Bugzilla on peut également trouver des informations critiques sur des failles qui sont exploitables. Elles ne sont évidemment pas accessibles de manière publique, mais à certains utilisateurs seulement. Problème, c'était justement le cas du compte dont il est aujourd'hui question.
« Nous pensons que l'attaquant a utilisé ces données afin d'attaquer des utilisateurs de Firefox » précise la fondation. Elle ajoute en outre qu'elle « a mené une enquête sur cet accès non autorisé, et pris plusieurs mesures afin de résoudre la menace immédiate ».
La mise à jour de sécurité du début du mois d'août sur son lecteur PDF est en effet une conséquence directe de ce piratage.
« Nous n'avons aucun indice laissant penser que d'autres informations obtenues par l'attaquant ont été utilisées contre des utilisateurs de Firefox » ajoute Mozilla.
Néanmoins, la fondation ajoute que « la version de Firefox mise en ligne le 27 août [NDLR : estampillée 40.0.3] bouche toutes les vulnérabilités dont dispose l'attaquant et qu'il aurait pu utiliser afin de nuire aux utilisateurs de Firefox ».
Si ce n'est pas déjà fait, il est donc important de mettre à jour votre navigateur. Pour cela, il suffit généralement de le redémarrer et de vérifier sa version dans le menu « À propos ».
La sécurité des comptes privilégiés de Bugzilla renforcée
Ce n'est évidemment pas tout et « les pratiques de sécurité » de Bugzilla ont été renforcées afin d'éviter de nouveaux déboires.
« Comme première étape immédiate, tous les utilisateurs ayant accès à des informations sensibles pour la sécurité doivent changer leurs mots de passe et utiliser l'identification à deux facteurs.
Nous réduisons le nombre d'utilisateurs ayant un accès privilégié tout en limitant ce que chaque utilisateur privilégié peut faire » explique la fondation.
Bref, Bugzilla veut limiter les risques en renforçant la sécurité à sa porte d'entrée, tout en cloisonnant un peu plus l'information afin de limiter les dégâts dans le cas où elle serait tout de même forcée.
Des initiatives qui vont dans le bon sens, mais qui auraient probablement pu être mises en place avant.
à suivre ...
Source NextINpact le 07/09/2015
Lun 7 Sep - 9:51