Ouvrir le menu principal

MacGeneration

Recherche

Bugzilla piraté, des failles de Firefox longtemps exposées

Florian Innocente

lundi 07 septembre 2015 à 10:46 • 25

Logiciels

Bugzilla, la plateforme qu'utilise Mozilla pour coordonner le travail des développeurs de Firefox, et lister ses bugs a reçu une visite non désirée. Dans un billet publié en fin de semaine, Richard Barnes (Security Engineering) explique qu'un Rapetou non identifié a pu avoir accès à une longue liste confidentielle de problèmes de sécurité à corriger dans Firefox. Cette intrusion a démarré en septembre 2014 mais des élements laissent à penser qu'elle a pu commencer un an plus tôt.

crédit : Adrien Sifre

Tous les bugs listés ne sont pas publics, notamment ceux relatifs à des failles de sécurité. Un nombre limité de développeurs y a accès et c'est le compte de l'un d'entre eux qui a servi de porte d'entrée au monte-en-l'air. Le propriétaire du compte utilisait le même mot de passe sur plusieurs sites et, malheureusement, l'un d'eux a connu un vol de données. Le forban a donc pu réutiliser ce mot de passe pour s'introduire dans une partie privée de Bugzilla.

Après inspection, il s'est avéré que le brigand avait pu voir le détail de 185 bugs de sécurités confidentiels, parmi lesquels 53 qualifiés de très sévères. Richard Barnes précise que sur cette portion, 43 avaient été déjà corrigés au moment de l'intrusion. Restaient les 10 autres qui ont été corrigés au fil de l'eau. Dans le pire des cas, pour 3 failles, l'aigrefin a eu 131, 157 et 335 jours pour s'en servir avant qu'ils ne disparaissent à la faveur des différentes révisions de Firefox.

Avec la dernière version en date du navigateur, sortie le 27 août, les derniers bugs existants ont été effacés. Mais il a été démontré que l'un d'entre eux au moins a été mis en œuvre au début août en Russie. Il a servi à récupérer des données confidentielles auprès d'internautes qui se promenaient sur un site d'actualité du pays, avant d'envoyer ces informations vers un serveur en Ukraine.

Mozilla a modifié les conditions d'accès à sa base de données en obligeant à une identification en deux étapes, réduit le nombre de personnes disposant d'un accès privilégié et révisé à la baisse aussi leurs possibilités d'action.

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Apple fait une nouvelle mise à jour de son antimalware XProtect

01/07/2025 à 22:13

• 2


L'absence de ventilateurs de certains Mac portable peut les protéger des malwares

01/07/2025 à 19:30

• 14


Mactracker 8 synchronise votre collection de produits Apple sur tous vos Mac

01/07/2025 à 17:44

• 8


Passez à CarPlay sans fil pour moins de 20 €

01/07/2025 à 16:53

• 33


De très nombreuses failles dangereuses dans les imprimantes de Brother (et quelques autres)

01/07/2025 à 15:24

• 7


Bon plan Wi-Fi : l’Eero 6 (3 modules) à 130 € seulement

01/07/2025 à 13:30

• 14


Apple détaille des fonctions d'iOS et macOS 26 qui n'arriveront pas en Europe

01/07/2025 à 11:57

• 94


Proton se joint à une plainte contre Apple pour pratiques anticoncurrentielles

01/07/2025 à 11:10

• 45


États-Unis : Apple n’échappera pas au procès pour abus de position dominante

01/07/2025 à 09:55

• 40


Seriez-vous intéressé par un iPhone qui se transforme en ordinateur traditionnel ?

01/07/2025 à 09:06

• 58


Apple envisage de remplacer le moteur de Siri par celui de ChatGPT ou Claude AI

30/06/2025 à 23:00

• 67


MacBook : jusqu’où Apple ira-t-elle pour casser les prix ?

30/06/2025 à 21:40

• 13


Comment faire face à la déferlante des fausses alertes bancaires et colis frauduleux 📍

30/06/2025 à 20:44

• 0


Pixelmator Pro s’enrichit de certaines fonctions Apple Intelligence

30/06/2025 à 20:09

• 12


L'option Lieux visités d'iOS 26 serait absente en Europe

30/06/2025 à 19:49

• 159


Un MacBook avec une puce A18 Pro repéré dans du code d’Apple

30/06/2025 à 17:36

• 38