Bugzilla piraté, des failles de Firefox longtemps exposées

Florian Innocente |

Bugzilla, la plateforme qu'utilise Mozilla pour coordonner le travail des développeurs de Firefox, et lister ses bugs a reçu une visite non désirée. Dans un billet publié en fin de semaine, Richard Barnes (Security Engineering) explique qu'un Rapetou non identifié a pu avoir accès à une longue liste confidentielle de problèmes de sécurité à corriger dans Firefox. Cette intrusion a démarré en septembre 2014 mais des élements laissent à penser qu'elle a pu commencer un an plus tôt.

crédit : Adrien Sifre

Tous les bugs listés ne sont pas publics, notamment ceux relatifs à des failles de sécurité. Un nombre limité de développeurs y a accès et c'est le compte de l'un d'entre eux qui a servi de porte d'entrée au monte-en-l'air. Le propriétaire du compte utilisait le même mot de passe sur plusieurs sites et, malheureusement, l'un d'eux a connu un vol de données. Le forban a donc pu réutiliser ce mot de passe pour s'introduire dans une partie privée de Bugzilla.

Après inspection, il s'est avéré que le brigand avait pu voir le détail de 185 bugs de sécurités confidentiels, parmi lesquels 53 qualifiés de très sévères. Richard Barnes précise que sur cette portion, 43 avaient été déjà corrigés au moment de l'intrusion. Restaient les 10 autres qui ont été corrigés au fil de l'eau. Dans le pire des cas, pour 3 failles, l'aigrefin a eu 131, 157 et 335 jours pour s'en servir avant qu'ils ne disparaissent à la faveur des différentes révisions de Firefox.

Avec la dernière version en date du navigateur, sortie le 27 août, les derniers bugs existants ont été effacés. Mais il a été démontré que l'un d'entre eux au moins a été mis en œuvre au début août en Russie. Il a servi à récupérer des données confidentielles auprès d'internautes qui se promenaient sur un site d'actualité du pays, avant d'envoyer ces informations vers un serveur en Ukraine.

Mozilla a modifié les conditions d'accès à sa base de données en obligeant à une identification en deux étapes, réduit le nombre de personnes disposant d'un accès privilégié et révisé à la baisse aussi leurs possibilités d'action.

Tags
#Mozilla #Bugzilla #Firefox #sécurité
avatar Wolf | 

monte-en-l'air ? Que viens faire Spiderman dans l'histoire ? ;)

avatar Moonwalker | 

Quel professionalisme ! Pendant un an ils n'y ont vu que du feu. Et puis bravo le développeur qui a permis cette intrusion grâce à son inconséquence.

A part ça, ils voudraient qu'on leur confie nos données…

Il n'y a personne pour leur balancer un class-action ? Si c'était M$, Appe ou Google, on aurait déjà des avocats sur le coup.

avatar C1rc3@0rc | 

Tres difficile a detecter puisque l'intrusion s'est faite sans piratage mais par un accès normal. La responsabilité du développeur ayant permis cette intrusion est certainement engagée au niveau légale, et Mozilla pourrait probablement l'attaquer.

La société n'est en rien responsable.
Maintenant mettre en place une identification a 2 voies va pas resoudre le probleme pour autant, car si l’accès se fait a partir d'un smartphone ben les 2 voies en sont une seule et meme!

Ensuite cela va compromettre la sécurité des développeurs eux mêmes et leurs liberté d'action. Il faut le rappeler: l'identification a deux voies exploitant le téléphone ne garanti rien mais permet de ficher l'individu puisque identifié par un système certifié légalement et surveillé automatiquement. Donner son nº de tel c'est donner son identité légale!

avatar vince29 | 

Bof.

Si les différents acteurs devaoent se jeter à la figure leurs failles respectives on n'en aurait pas fini.
Google te retournera assez facilement des résultats concernant Apple : ex une faille itunes qui n'a été patchée que... 3 ans après son signalement. Mais ce n'est pas le record je te l'accorde.

avatar C1rc3@0rc | 

C'est hors de propos, la on parle d'un vol de données consécutif a une intrusion liée a une négligence trés grave d'une personne "éduquée"!
Le site de Mozilla n'a pas été hacké grace a une faille du serveur, ni de l'os, ni a un defaut de protection des informations!

Si on veut faire un parallèle c'est comme si plusieurs appartement avaient été cambriolés dans un immeuble parce que le gérant avait mis son trousseau de passes a coté de la porte d'entrée!

«Google te retournera assez facilement des résultats concernant Apple : ex une faille itunes qui n'a été patchée que... 3 ans après son signalement»

il y a plusieurs niveaux de failles de securité, et ce n'est pas histoire de couper les cheveux en 4: il y a des failles gravissimes, et il y en a qui sont anecdotiques!

Une faille qui permet de prendre le contrôle en mode "root" d'une machine a travers l'internet c'est une faille gravissime. Une faille qui nécessite d'avoir un accès physique a la machine en mode root est mineure.
Mais encore une fois ici, l'erreur est 100% humaine et elle est très difficile a détecter et a anticiper.

avatar Lestat1886 | 

Quel malotru !

avatar DarkChocolâte | 

Rapetou, aigrefin, brigand, forban... MacG rentabilise son dictionnaire des synonymes ! :-)

avatar Moonwalker | 

Ouaip. Monsieur Innocent est en forme pour un lundi matin. J'aime bien cette diversité dans le vocabulaire. Ça change du Monde.

avatar Pascal-007 | 

Les synonymes, c’est bien, mais là c’est exagéré. Les synonymes rarissimes nuisent à la lecture du texte sans rien apporter de productif. Il y a un temps pour les envolées lyriques, et d’autres moments où ça devient inadéquat. Une brève n’est pas un roman ou un poème. Sa fonction est de donner une information en allant droit au but.

La preuve que ce style ampoulé est inadéquat ? 3 commentaires sur les 4 avant le mien en font la remarque.

avatar Florian Innocente | 

@Pascal-007 "La preuve que ce style ampoulé est inadéquat ? 3 commentaires sur les 4 avant le mien en font la remarque."

Oui mais certains aiment, certains n'aiment pas. Du coup je fais quoi, j'arrête ou je continue ?

Puis les news sécurité, c'est important mais c'est quand même super chiant, alors un peu de récréation ne nuit pas.

avatar lewax | 

@innocente :
Continue!

avatar Terrehapax | 

@innocente :
Surtout continuez à enrichir notre vocabulaire !
Pour vous aider, je suis allé sur le meilleur site de synonymes (http://www.crisco.unicaen.fr/des/synonymes) et j'ai copié à votre intention 50 synonymes de "fripon" (malheureusement et bizarrement, "malandrin" n'y figure pas) :

aigrefin, bandit, brigand, brigandeau, canaille, chevalier d'industrie, coquin, coupeur de bourses, déluré, dérobeur, détrousseur, diable, égrillard, escroc, escroqueur, espiègle, estampeur, éveillé, faiseur, filou, flibustier, fripouille, futé, garnement, gibier de potence, gonin, gredin, gueux, larron, lutin, malhonnête, malicieux, malin, maroufle, mâtin, pendard, picaro, pickpocket, pipeur, pirate, polisson, rat d'hôtel, rossard, sacripant, scélérat, tricheur, truand, vaurien, vide-gousset, voleur.

avatar Shralldam | 

@Pascal-007

Absolument pas. Je ne connaissais ni aigrefin, ni monte-en-l'air. Avec cet article, j'ai :

1. Obtenu une information
2. Appris 2 nouveaux mots
3. Ri
4. Pesté sur votre commentaire

C'est votre réaction qui n'est pas productive, elle est l'expression d'un caprice intellectuel.

Pétez un coup, ça ira mieux :)

avatar R5555 | 

Sacré boute-en-train !

avatar Hertzfield (non vérifié) | 

@Pascal-007 :
Typiquement français de ne jamais être content...
Un peu de vocabulaire ne fait pas de mal...

avatar Nekhro | 

@Pascal-007
Et pour information, ce n’est pas une brève. Une brève est beaucoup plus court que l’est cet article ;-)

avatar BeePotato | 

@ Pascal-007 : « Les synonymes rarissimes nuisent à la lecture du texte sans rien apporter de productif. »

En effet.
Mais là, en l’occurrence, il n’y a aucun synonyme rarissime. Du coup tout va bien.

avatar thebarty | 

Ben, moi, j'aime bien. Ca fait un peu décalé. Pour les (très) vieux de la vieille, cela me fait un peu penser au style qu'affichait Hebdogiciel...

avatar ckermo80Dqy | 

Si, si, encore des aigrefin, malandrin, brigand, forban ! Ça fait du bien. Et pour celui qui ne les connaissait pas, profites-en pour t'instruire et/ou achète-toi des livres.

avatar Wes974 | 

Rapetou, haha excellent

avatar iPal | 

C'est le moment pour eux de passer à JIRA, comme tout le monde ;-)

avatar Sic transit | 

Il appert de cet articulet que les membres de la rédaction de Macgé ont eu un plaisir manifeste à ressusciter cette vieille tradition journalistique et un tantinet potache qui consiste à placer discrètement autant de mots incongrus que possible dans un texte sans que cela ne semble louche aux yeux du lecteur lambda… Une belle initiative dont, soyez-en assurés, tous les lecteurs vous en sauront gré.

avatar Ultranova | 

@ Mr Innocente

Si on cite les Rapetous il ne faut pas oublier les pieds nickelés !!!

avatar DG33 | 

Pour ma part j'attends une intrusion sur le site de VLC afin de voir à nouveau quelques images de "La soupe aux choux"...
Comme dit par d'autres avant moi, flatulez quelque peu afin de vous détendre et apprécier le lyrisme de la Rédac.
C'est un jeu apparu il y a quelques temps déjà, sous une autre forme que les bons mots que beaucoup d'entre vous ne savent même pas voir, ignorants que vous êtes des belles lettres, vous jetant tout cru sur les dernières rumeurs dont vous êtes avides mais jamais rassasiés.
Inutile de le dire, la Rédac a déjà choisi son camp et continuera de réjouir les passionnés, en espérant voir partir les boulets.

avatar Moonwalker | 

Dans cette affaire, les pieds nickelés sont les développeurs de Mozilla.

CONNEXION UTILISATEUR