Mozilla a récemment dû faire face à un épineux problème de sécurité : son logiciel Bugzilla a été piraté et des données sensibles sur des failles de Firefox dérobées. Le navigateur a depuis été patché et de nouvelles mesures de sécurité ont été mises en place.
L'équipe en charge de la sécurité chez Mozilla a publié un billet de blog afin d'expliquer que Bugzilla, son logiciel libre de suivi et de gestion de bugs, avait été piraté il y a quelque temps. Un attaquant (dont l'origine n'a pas été précisée) a accédé à un compte utilisateur avec un haut niveau de privilèges afin de récupérer des données sensibles concernant Firefox. Mozilla ne précise par contre pas exactement quand cela a eu lieu.
Des informations sur des failles non colmatées
Au-delà des simples bugs qui sont sans gravité pour la sécurité, dans Bugzilla on peut également trouver des informations critiques sur des failles qui sont exploitables. Elles ne sont évidemment pas accessibles de manière publique, mais à certains utilisateurs seulement. Problème, c'était justement le cas du compte dont il est aujourd'hui question.
« Nous pensons que l'attaquant a utilisé ces données afin d'attaquer des utilisateurs de Firefox » précise la fondation. Elle ajoute en outre qu'elle « a mené une enquête sur cet accès non autorisé, et pris plusieurs mesures afin de résoudre la menace immédiate ». La mise à jour de sécurité du début du mois d'août sur son lecteur PDF est en effet une conséquence directe de ce piratage. « Nous n'avons aucun indice laissant penser que d'autres informations obtenues par l'attaquant ont été utilisées contre des utilisateurs de Firefox » ajoute Mozilla.
Néanmoins, la fondation ajoute que « la version de Firefox mise en ligne le 27 août [NDLR : estampillée 40.0.3] bouche toutes les vulnérabilités dont dispose l'attaquant et qu'il aurait pu utiliser afin de nuire aux utilisateurs de Firefox ». Si ce n'est pas déjà fait, il est donc important de mettre à jour votre navigateur. Pour cela, il suffit généralement de le redémarrer et de vérifier sa version dans le menu « À propos ».
La sécurité des comptes privilégiés de Bugzilla renforcée
Ce n'est évidemment pas tout et « les pratiques de sécurité » de Bugzilla ont été renforcées afin d'éviter de nouveaux déboires. « Comme première étape immédiate, tous les utilisateurs ayant accès à des informations sensibles pour la sécurité doivent changer leurs mots de passe et utiliser l'identification à deux facteurs. Nous réduisons le nombre d'utilisateurs ayant un accès privilégié tout en limitant ce que chaque utilisateur privilégié peut faire » explique la fondation.
Bref, Bugzilla veut limiter les risques en renforçant la sécurité à sa porte d'entrée, tout en cloisonnant un peu plus l'information afin de limiter les dégâts dans le cas où elle serait tout de même forcée. Des initiatives qui vont dans le bon sens, mais qui auraient probablement pu être mises en place avant.
Commentaires (46)
#1
J’avoue avoir du mal à comprendre l’intérêt d’avoir un logiciel qui regroupe toutes les failles de sécurité dont dispose un autre logiciel.
SI on trouve une faille, on essaye de la colmater, surtout si celle-ci est assez critique.
#2
https://fr.wikipedia.org/wiki/Logiciel_de_suivi_de_probl%C3%A8mes
#3
Si tu ne vois pas l’utilité de bugzilla, c’est que tu n’as jamais programmé… ou que tu codes sans bug
" />
#4
#5
je la garde celle-la… Je vais même l’afficher au boulot !
#6
Enorme !
Mais ca serait mieux passé un dredi ^^
#7
Énorme !
" />
M’en vais la colporter … vivement le prochain qui ne fasse ne serait-ce qu’évoquer le mot “test”.
#8
Géant, au boulot on fait du logiciel critique (DO178 et tout le toutim), ça devrait leur plaire
" />
#9
#10
#11
Un attaquant (dont l’origine n’a pas été précisée)
Ca vient de la Russie (je ne retrouve plus la source). edit : les données récupérées se sont retrouvées sur un site russe (doc Mozilla)
Je trouve moyen de parler de “piratage”. Le gars a utilisé son mot de passe sur plusieurs services, donc le vilain l’a trouvé et est entré sur son compte Bugzilla. En quoi est-ce un piratage ? Il n’a pas utilisé une faille de Bugzilla, ni du côté de Mozilla, vous laissez croire que c’est le cas
#12
ici, c’est dis en restant flou, sur un autre site ça valait plutôt le piratage massif de données utilisateurs…
#13
#14
Heu, je ne comprend pas trop le problème. Bugzilla, c’est bien un logiciel de tracking de bug ? Un système de billet comme on trouve sur tout plein de logiciel. Généralement ces billets sont publics (pour éviter les multiposts) non ? Du coup, qu’est ce qui était privé que les “pirates” ont pu récupérer ? Surtout que là on est dans un logiciel “open source” (totalement ?) du coup j’ai envie de dire que c’est un peu dans la philosophie de partager ça avec la communauté (faire l’inverse pourrait être mal pris ).
#15
@Jarodd : C’est étonnant comme façon de penser.
Je trouve la clé de ta voiture que tu as oublié sur ton bureau au taff. Je prends ta voiture, tu considères que je ne te l’ai pas volé ?
Le piratage n’est pas uniquement lié à l’utilisation d’une faille de sécurité…
Grillé par alex.d.
#16
#17
Purée , c’est mieux le Vendredi on vous dit
" />
#18
On parle d’info sensible comme par exemple la précédure pour péter la sécurité
" />
" />
Il y a une différence entre dire : “Firefox est vulnérable face à tel attaque” et “Pour péter firefox suivre les instructions suivantes : 1/ …”
#19
#20
Dans un billet, généralement tu as besoin de décrire les détails de comment provoquer le bug pour que les dev puissent le reproduire, l’étudier et enfin le corriger.
#21
Ha, ok, je comprends mieux.
#22
oh le FUD !
" />
trop gros, passera pas
#23
#24
Suis assez d’accord, il manque l’info sur le timing, ce qui est louche …
edit : d’ailleurs ils disent :
We believe that the attacker used information from Bugzilla to exploit the vulnerability we patched on August 6.
donc l’accés semble antérieur à début août, il a pu en exploiter pas mal d’autres entre le 6 et le 27 …
#25
Eh ben! Un gars avec un compte expert qui utilise le même mot de passe, le tout dans double identification… Il devrait changer de métier
#26
Oui, d’après le pdf en lien en bas de la page ils disent “confirmé septembre 2014, potentiellement dès septembre 2013”, donc il a bien pu s’amuser pendant un moment…
#27
#opensourcefail
Allez, lâchez les fauves
#28
#29
Ou même, il devra, parce que sa réputation est grillée…
#30
en effet, c’est là que c’est chaud, si ça dure depuis 2 ans, voire plus … Le gars a pu s’amuser. Mais comme rien de massif n’a été lancé on dirait, c’est peut être pour de l’exploitation très ciblée … et tout de suite on pense gouvernemental quand c’est comme ça.
#31
#32
#33
Il n’y a que moi qui m’étrangle d’indignation en lisant cela ?
Un individu mal intentionné accède aux vulnérabilités d’un navigateur internet utilisé par des centaines de millions de personnes, et la fondation Mozilla communique dessus un an après seulement ? C’est pas franchement un modèle de transparence.
Et 335 jours pour combler une faille éventée, no comment.
Rappel du Manifeste de la fondation :
#4 La sécurité des personnes sur Internet est fondamentale et ne doit pas être facultative. #8 Des processus transparents et communautaires favorisent la participation, la responsabilité et la confiance.
J’ai le sentiment que la sécurité des personnes et les processus transparents ont été négligés pour éviter l’effet de fuite et préserver leur part de marché.
#34
Vous faites une mauvaise interprétation :
#35
Merci pour votre réponse.
Je cite toutefois le billet de Mozilla :
How long did the attacker have access? The earliest confirmed instance of unauthorized access dates to September 2014. Thereare some indications that the attacker may have had access since September 2013. https://ffp4g1ylyit3jdyti1hqcvtb-wpengine.netdna-ssl.com/security/files/2015/09/BugzillaFAQ.pdf
Sachant que nous sommes en septembre 2015, et que la fondation affirme qu’il y a des éléments tendant à affirmer que la personne a accédé au compte dès septembre 2013, j’ai tendance à croire que c’est vous qui faites une mauvaise interprétation.
#36
#37
En effet j’ai lu un peu vite la faq. Il est cependant bien précisé qu’une partie des bugs étaient mineurs, et pour que ce bug soit resté ouvert si longtemps, il y a fort a parier que c’était le cas. Les bugs majeurs sont corrigés au plus tôt.
Et en tout cas Mozilla n’était pas au courant qu’il avait fuité avant il y a peu et a communiqué plutôt vite.
#38
Selon Mozilla, des indices montreraient que l’intrusion auraient eu lieu dès septembre 2013. Le compte utilisateur concerné a été clôturé, mais seulement en septembre 2014.
Toujours selon Mozilla, le hackeur aurait pu exploiter au moins 10 des 53 failles de sécurité.
Ce n’est que depuis le 27 août 2015 que Mozilla a comblé l’intégralité de ces failles de sécurité.
Pourquoi avoir attendu aujourd’hui pour faire cette communication ? D’après ce que je comprend, Mozilla voulait d’abord combler toutes les failles de sécurité concernés avant de faire cette communication, d’où cette annonce officielle tardive. Mais tout de même… et les utilisateurs ? Il ont utilisé un navigateur qui, jusqu’au 27 août 2015, était vulnérable. Ca n’a pas eu l’air de déranger Mozilla.
Je ne vais pas me montrer clément parce que c’est Mozilla… mais, de toute façon, je sais pertinemment que beaucoup de hacking ne sont jamais rendu public. Trop souvent, nous ne savons même pas que nous utilisons des logiciels défaillants ou que nos données personnelles se sont retrouvées dans la nature.
#39
Voilà pourquoi il faut éviter les logiciels libres. Déjà le fait que le source soit libre est un grand danger car cela facilite le travail de recherche de failles, faire un site comme Bugzilla est encore pire il n’y a plus aucune recherche à faire juste à lire.
#40
JVachez sort de ce corps !
" />
#41
#42
@Jarodd : C’est le principe que je trouve étonnant. Je n’ai pas dit que tu n’avais pas dit qu’il y avait vol.
#43
Eh pourtant c’est un cas similaire au “ce n’est pas du piratage, le vilain a juste utilisé le mot de passe d’un super user”.
C’est une intrusion donc un piratage…
#44