Pour accélérer le développement de ses voitures connectées, Renault-Nissan annonce un accord avec Microsoft pour exploiter les capacités de traitement d'Azure.

L'Image du jour

Pour accélérer le développement de ses voitures connectées, Renault-Nissan annonce un accord avec Microsoft pour exploiter les capacités de traitement...

Les Fintech bousculent la finance

Dernier Dossier

Les Fintech bousculent la finance

Quelque 4 000 Fintechs existeraient dans le monde, sûrement une faible minorité d'entre elles subsistera dans les trois ans. Une chose est sûre, depui...

Restez proche de l'actualité IT

NEWSLETTERS THEMATIQUES

Découvrez nos différentes newsletters adaptées à vos besoins d'actualités IT Pro : Mobilité, Réseaux, Stockages, ...

Abonnez-vous 
FERMER

LMI MARKET

Votre comparateur de prestataires IT : Comparez les devis, Evaluez les prestataires, Trouvez le juste prix!...

Accéder à ce service 

BLOG

Découvrez les contenus exclusifs publiés par les lecteurs du Monde Informatique avec la plateforme LMI Blog...

Accéder à ce service 

COMPARATEUR DE SALAIRE

Partagez votre situation salariale anonymement, consultez les statistiques depuis 2009 et faites vos propres analyses...

Accéder à ce service 

IT TOUR

LMI vous invite à sa Matinée-Débats dans votre région.
Inscrivez-vous

Accéder au site 
FERMER
0
Réagissez Imprimer Envoyer

Des failles Firefox exploitées après l'attaque de Bugzilla

Mozilla prend des mesures pour sécuriser l'accès à Bugzilla après le vol d'informations de 53 failles de sécurité. (crédit : D.R.)

Mozilla prend des mesures pour sécuriser l'accès à Bugzilla après le vol d'informations de 53 failles de sécurité. (crédit : D.R.)

Des informations sur 53 failles de sécurité concernant Firefox et d'autres produits de Mozilla ont été volées par un attaquant s'étant introduit sur le site via un compte à privilèges. L'éditeur de logiciels Open Source conseille d'utiliser la version 40 du navigateur web mise à jour le 27 août.

Bugzilla, la base de données de suivi de bugs et de modifications utilisée par Mozilla pour ses logiciels a été attaquée. Des informations y ont été dérobées sur 53 failles de sécurité critiques concernant Firefox et d’autres produits de l’éditeur. Une de ces vulnérabilités, au moins, a été exploitée dans une attaque pour récupérer des données privées d’utilisateurs de Firefox qui consultaient un site d’actualités en Russie, précise l’éditeur dans un document FAQ. Mozilla avait corrigé cette faille le 6 août. Il dit n’avoir aucune indication que d’autres bugs aient pu être exploités et ajoute que pour les internautes, la meilleure protection est d’utiliser la dernière version du navigateur web. Fournie il y a une dizaine de jours, celle-ci est numérotée 40.0.3. « Le 27 août, nous avons livré de nouvelles versions de Firefox pour poste de travail, Firefox pour Android et Firefox ESR. Elles apportent des correctifs pour toutes les vulnérabilités sur lesquelles l’attaquant s’est renseigné et dont il pourrait s’être servi pour s’en prendre aux utilisateurs de Firefox ».

Tous les développeurs de Mozilla, ceux qui sont rémunérés comme les bénévoles, s’appuient sur le service Open Source Bugzilla pour communiquer sur les problèmes qu’ils rencontrent, discuter des différentes options possibles avant de procéder à une modification et transmettre d’éventuels correctifs de sécurité. Les informations sur les bugs sont normalement ouvertes au public, mais certaines d’entre elles, en particulier celles qui concernent des problèmes de sécurité en cours de traitement, sont uniquement accessibles par les détenteurs de comptes à privilèges. C’est le cas pour les bugs jugés critiques bien après la livraison du correctif afin de garantir que l’essentiel des utilisateurs de Firefox a bien installé le patch.

Une intrusion remontant au moins à un an, peut-être deux

Selon le FAQ publié par l’éditeur, l’accès au compte à privilèges remonte à septembre 2014. « Certains éléments indiquent que l’attaquant pourrait y avoir eu accès dès septembre 2013 », précise-t-il. Sur les 53 failles explorées sur Bugzilla, 43 avaient déjà été patchées au moment du piratage. Sur les 10 restantes, 3 sont restées ouvertes entre 131 et 335 jours et 2 pendant moins de 7 jours. La faille exploitée en Russie était restée ouverte pendant 36 jours. L’attaquant s’est introduit via un compte à privilèges. Il a récupéré le mot de passe d’un utilisateur de Bugzilla ayant accédé à des informations de sécurité sensibles. Selon l’enquête menée par Mozilla, l’utilisateur s’était resservi de ce mot de passe sur un autre site qui l'a dévoilé à la suite d'une attaque.

Des mesures ont été prises pour sécuriser Bugzilla. Les personnes ayant accès à des informations sensibles devront réinitialiser leur mot de passe et adopter une authentification à double facteur. Dans un billet, Richard Barnes, co-responsable de l’équipe de sécurité de Mozilla, ajoute que l’éditeur a également décidé de réduire le nombre d’utilisateurs à privilèges et qu’il va limiter ce que ces utilisateurs peuvent faire.

Ce n’est pas le premier incident pour Bugzilla. L’an dernier, des dizaines de milliers d’emails et de mots de passe chiffrés de ses utilisateurs avaient été exposés sur un serveur accessible au public pendant au moins trois mois. Le service avait aussi été corrigé pour réparer une faille d’escalade de privilèges qui aurait permis à des utilisateurs d’avoir un accès administrateur.

Commenter cet article

commenter cet article en tant que membre LMI

CONNEXION

Commenter cet article en tant que visiteur






* Les liens HTML sont interdits dans les commentaires

Publicité
35 ans
20 Mars 1989 n°360
Publicité
Publicité