Bugzilla, la base de données de suivi de bugs et de modifications utilisée par Mozilla pour ses logiciels a été attaquée. Des informations y ont été dérobées sur 53 failles de sécurité critiques concernant Firefox et d’autres produits de l’éditeur. Une de ces vulnérabilités, au moins, a été exploitée dans une attaque pour récupérer des données privées d’utilisateurs de Firefox qui consultaient un site d’actualités en Russie, précise l’éditeur dans un document FAQ. Mozilla avait corrigé cette faille le 6 août. Il dit n’avoir aucune indication que d’autres bugs aient pu être exploités et ajoute que pour les internautes, la meilleure protection est d’utiliser la dernière version du navigateur web. Fournie il y a une dizaine de jours, celle-ci est numérotée 40.0.3. « Le 27 août, nous avons livré de nouvelles versions de Firefox pour poste de travail, Firefox pour Android et Firefox ESR. Elles apportent des correctifs pour toutes les vulnérabilités sur lesquelles l’attaquant s’est renseigné et dont il pourrait s’être servi pour s’en prendre aux utilisateurs de Firefox ».

Tous les développeurs de Mozilla, ceux qui sont rémunérés comme les bénévoles, s’appuient sur le service Open Source Bugzilla pour communiquer sur les problèmes qu’ils rencontrent, discuter des différentes options possibles avant de procéder à une modification et transmettre d’éventuels correctifs de sécurité. Les informations sur les bugs sont normalement ouvertes au public, mais certaines d’entre elles, en particulier celles qui concernent des problèmes de sécurité en cours de traitement, sont uniquement accessibles par les détenteurs de comptes à privilèges. C’est le cas pour les bugs jugés critiques bien après la livraison du correctif afin de garantir que l’essentiel des utilisateurs de Firefox a bien installé le patch.

Une intrusion remontant au moins à un an, peut-être deux

Selon le FAQ publié par l’éditeur, l’accès au compte à privilèges remonte à septembre 2014. « Certains éléments indiquent que l’attaquant pourrait y avoir eu accès dès septembre 2013 », précise-t-il. Sur les 53 failles explorées sur Bugzilla, 43 avaient déjà été patchées au moment du piratage. Sur les 10 restantes, 3 sont restées ouvertes entre 131 et 335 jours et 2 pendant moins de 7 jours. La faille exploitée en Russie était restée ouverte pendant 36 jours. L’attaquant s’est introduit via un compte à privilèges. Il a récupéré le mot de passe d’un utilisateur de Bugzilla ayant accédé à des informations de sécurité sensibles. Selon l’enquête menée par Mozilla, l’utilisateur s’était resservi de ce mot de passe sur un autre site qui l'a dévoilé à la suite d'une attaque.

Des mesures ont été prises pour sécuriser Bugzilla. Les personnes ayant accès à des informations sensibles devront réinitialiser leur mot de passe et adopter une authentification à double facteur. Dans un billet, Richard Barnes, co-responsable de l’équipe de sécurité de Mozilla, ajoute que l’éditeur a également décidé de réduire le nombre d’utilisateurs à privilèges et qu’il va limiter ce que ces utilisateurs peuvent faire.

Ce n’est pas le premier incident pour Bugzilla. L’an dernier, des dizaines de milliers d’emails et de mots de passe chiffrés de ses utilisateurs avaient été exposés sur un serveur accessible au public pendant au moins trois mois. Le service avait aussi été corrigé pour réparer une faille d’escalade de privilèges qui aurait permis à des utilisateurs d’avoir un accès administrateur.