MacGeneration

Bugzilla piraté, des failles de Firefox longtemps exposées

Florian Innocente |

Bugzilla, la plateforme qu'utilise Mozilla pour coordonner le travail des développeurs de Firefox, et lister ses bugs a reçu une visite non désirée. Dans un billet publié en fin de semaine, Richard Barnes (Security Engineering) explique qu'un Rapetou non identifié a pu avoir accès à une longue liste confidentielle de problèmes de sécurité à corriger dans Firefox. Cette intrusion a démarré en septembre 2014 mais des élements laissent à penser qu'elle a pu commencer un an plus tôt.

crédit : Adrien Sifre

Tous les bugs listés ne sont pas publics, notamment ceux relatifs à des failles de sécurité. Un nombre limité de développeurs y a accès et c'est le compte de l'un d'entre eux qui a servi de porte d'entrée au monte-en-l'air. Le propriétaire du compte utilisait le même mot de passe sur plusieurs sites et, malheureusement, l'un d'eux a connu un vol de données. Le forban a donc pu réutiliser ce mot de passe pour s'introduire dans une partie privée de Bugzilla.

Après inspection, il s'est avéré que le brigand avait pu voir le détail de 185 bugs de sécurités confidentiels, parmi lesquels 53 qualifiés de très sévères. Richard Barnes précise que sur cette portion, 43 avaient été déjà corrigés au moment de l'intrusion. Restaient les 10 autres qui ont été corrigés au fil de l'eau. Dans le pire des cas, pour 3 failles, l'aigrefin a eu 131, 157 et 335 jours pour s'en servir avant qu'ils ne disparaissent à la faveur des différentes révisions de Firefox.

Avec la dernière version en date du navigateur, sortie le 27 août, les derniers bugs existants ont été effacés. Mais il a été démontré que l'un d'entre eux au moins a été mis en œuvre au début août en Russie. Il a servi à récupérer des données confidentielles auprès d'internautes qui se promenaient sur un site d'actualité du pays, avant d'envoyer ces informations vers un serveur en Ukraine.

Mozilla a modifié les conditions d'accès à sa base de données en obligeant à une identification en deux étapes, réduit le nombre de personnes disposant d'un accès privilégié et révisé à la baisse aussi leurs possibilités d'action.

Sur iPhone | Sur Android
Accédez aux commentaires de l'article