Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Bugzilla piraté : des données sensibles sur des failles de Firefox dérobées

Du coup, elles ont été rapidement bouchées
Internet 2 min
Bugzilla piraté : des données sensibles sur des failles de Firefox dérobées
Crédits : billyfoto/iStock

Mozilla a récemment dû faire face à un épineux problème de sécurité : son logiciel Bugzilla a été piraté et des données sensibles sur des failles de Firefox dérobées. Le navigateur a depuis été patché et de nouvelles mesures de sécurité ont été mises en place.

L'équipe en charge de la sécurité chez Mozilla a publié un billet de blog afin d'expliquer que Bugzilla, son logiciel libre de suivi et de gestion de bugs, avait été piraté il y a quelque temps. Un attaquant (dont l'origine n'a pas été précisée) a accédé à un compte utilisateur avec un haut niveau de privilèges afin de récupérer des données sensibles concernant Firefox. Mozilla ne précise par contre pas exactement quand cela a eu lieu.

Des informations sur des failles non colmatées

Au-delà des simples bugs qui sont sans gravité pour la sécurité, dans Bugzilla on peut également trouver des informations critiques sur des failles qui sont exploitables. Elles ne sont évidemment pas accessibles de manière publique, mais à certains utilisateurs seulement. Problème, c'était justement le cas du compte dont il est aujourd'hui question.

« Nous pensons que l'attaquant a utilisé ces données afin d'attaquer des utilisateurs de Firefox » précise la fondation. Elle ajoute en outre qu'elle « a mené une enquête sur cet accès non autorisé, et pris plusieurs mesures afin de résoudre la menace immédiate ». La mise à jour de sécurité du début du mois d'août sur son lecteur PDF est en effet une conséquence directe de ce piratage. « Nous n'avons aucun indice laissant penser que d'autres informations obtenues par l'attaquant ont été utilisées contre des utilisateurs de Firefox » ajoute Mozilla.

Néanmoins, la fondation ajoute que « la version de Firefox mise en ligne le 27 août [NDLR : estampillée 40.0.3] bouche toutes les vulnérabilités dont dispose l'attaquant et qu'il aurait pu utiliser afin de nuire aux utilisateurs de Firefox ». Si ce n'est pas déjà fait, il est donc important de mettre à jour votre navigateur. Pour cela, il suffit généralement de le redémarrer et de vérifier sa version dans le menu « À propos ». 

La sécurité des comptes privilégiés de Bugzilla renforcée

Ce n'est évidemment pas tout et « les pratiques de sécurité » de Bugzilla ont été renforcées afin d'éviter de nouveaux déboires. « Comme première étape immédiate, tous les utilisateurs ayant accès à des informations sensibles pour la sécurité doivent changer leurs mots de passe et utiliser l'identification à deux facteurs. Nous réduisons le nombre d'utilisateurs ayant un accès privilégié tout en limitant ce que chaque utilisateur privilégié peut faire » explique la fondation.

Bref, Bugzilla veut limiter les risques en renforçant la sécurité à sa porte d'entrée, tout en cloisonnant un peu plus l'information afin de limiter les dégâts dans le cas où elle serait tout de même forcée. Des initiatives qui vont dans le bon sens, mais qui auraient probablement pu être mises en place avant.

46 commentaires
Avatar de Arystos INpactien
Avatar de ArystosArystos- 07/09/15 à 07:28:18

J'avoue avoir du mal à comprendre l'intérêt d'avoir un logiciel qui regroupe toutes les failles de sécurité dont dispose un autre logiciel.
 
SI on trouve une faille, on essaye de la colmater, surtout si celle-ci est assez critique.

Avatar de alex.d. Abonné
Avatar de alex.d.alex.d.- 07/09/15 à 07:32:52

Si tu ne vois pas l'utilité de bugzilla, c'est que tu n'as jamais programmé... ou que tu codes sans bug :D

Édité par alex.d. le 07/09/2015 à 07:33
Avatar de athlon64 INpactien
Avatar de athlon64athlon64- 07/09/15 à 07:44:03

alex.d. a écrit :

Si tu ne vois pas l'utilité de bugzilla, c'est que tu n'as jamais programmé... ou que tu codes sans bug :D

Tout au feeling :fumer:

Avatar de mdc888 INpactien
Avatar de mdc888mdc888- 07/09/15 à 07:51:01

je la garde celle-la... Je vais même l'afficher au boulot !
 

Avatar de mdc888 INpactien
Avatar de mdc888mdc888- 07/09/15 à 07:51:51

Enorme !
 
Mais ca serait mieux passé un dredi ^^

Avatar de Dude76 Abonné
Avatar de Dude76Dude76- 07/09/15 à 08:19:32

Énorme ! :D
M'en vais la colporter ... vivement le prochain qui ne fasse ne serait-ce qu'évoquer le mot "test".

Avatar de Charly32 Abonné
Avatar de Charly32Charly32- 07/09/15 à 08:22:47

Géant, au boulot on fait du logiciel critique (DO178 et tout le toutim), ça devrait leur plaire :transpi:

Avatar de anonyme_751eb151a3e6ce065481d43bf0d18298 INpactien

athlon64 a écrit :

Tout au feeling :fumer:

:mdr:

Avatar de athlon64 INpactien
Avatar de athlon64athlon64- 07/09/15 à 08:34:11

mdc888 a écrit :

je la garde celle-la... Je vais même l'afficher au boulot !

Je la vois tous les jours en arrivant au boulot :transpi:

Dude76 a écrit :

Énorme ! :D
M'en vais la colporter ... vivement le prochain qui ne fasse ne serait-ce qu'évoquer le mot "test".

Charly32 a écrit :

Géant, au boulot on fait du logiciel critique (DO178 et tout le toutim), ça devrait leur plaire :transpi:

Soit on est bon, soit on l'est pas :fumer:

ActionFighter a écrit :

:mdr:

Une autre a l'opposée réaliste cette fois :D

Il n'est plus possible de commenter cette actualité.
Page 1 / 5