Un problème technique dans une routine de traitement des données a provoqué chez Mozilla la publication d’une base de données sur un serveur public en libre accès. Cette base contenait les adresses emails et une partie des mots de passe chiffrés d’un grand nombre de développeurs. Rien n’indique qu’il y ait eu accès à ces informations, mais l’éditeur invite à la prudence.
76 000 adresses email et 4 000 hashs de mots de passe
Difficile pour une entreprise comme Mozilla, pour qui la sécurité et le respect de la vie privée sont des mantras, de devoir avouer qu’il y a peut-être eu vol de données sur ses serveurs. C’est en essence ce que l’éditeur indique dans un billet pour prévenir les développeurs du Mozilla Developer Network (MDN) que leurs adresses emails et peut-être un hash de leur mots de passe ont fuité.
À la racine de cet incident, on trouve un processus d’assainissement des données. Il appliquait une série d’opérations sur une base de données contenant l’ensemble des comptes du MDN, quand un problème a provoqué la copie d’une partie de la base sur un serveur dont l’accès est public. Au final, ce sont 76 000 adresses email et 4 000 hashs qui ont ainsi été entreposés sur ce serveur durant une trentaine de jours environ, à partir du 23 juin.
L'éternel souci de la réutilisation des mots de passe
Mozilla précise que l’accès a été coupé et que les données ont été retirées dès que l’équipe s’est aperçue du problème. Le processus fautif d’assainissement des données a de son côté été désactivé pour que le problème ne se reproduise plus dans l’immédiat, le temps de trouver le problème. L’éditeur ajoute qu’à sa connaissance, il n’y a pas eu d’activité malveillante sur le serveur dont l’accès était public et qu’il n’y a donc pas eu, a priori, d’accès aux données.
L’entreprise met cependant en garde car rien ne garantit aujourd’hui que ces informations n’ont pas été trouvées et copiées. Selon Mozilla, les mots de passe ont été hachés et salés « et ne peuvent par eux-mêmes être utilisés pour s’authentifier sur le MDN aujourd’hui ». Il existe cependant toujours le problème de la réutilisation des identifiants : si les mots de passe ont été trouvés, ils pourraient servir à entrer sur d’autres comptes.
Tous les développeurs concernés ont été avertis pour qu’ils puissent prendre les mesures nécessaires. Idéalement, ils devraient changer leur mot de passe pour le MDN, mais également tous ceux des services qui auraient réutilisé ces identifiants. On rappellera qu’il n’est pas recommandé de se servir du même mot de passe sur plusieurs services, car la moindre fuite d’informations sur l’un d’eux permettra d’accéder à tous les autres.
L’éditeur promet dans son billet que tout sera mis en place pour que ce type d’incident ne se reproduise pas. Un examen des opérations sera ainsi effectué « pour réduire la probabilité que quelque chose comme ça se reproduise à nouveau ».
