Mozilla a donné des détails sur l’attaque menée contre Bugzilla, son outil de tests et de suivi des bugs, qui a permis aux pirates de dérober des données sensibles. « Nous pensons qu’ils ont utilisé ces données pour attaquer les utilisateurs Firefox », a avancé Richard Barnes de Mozilla, qui a assuré par la suite que la Fondation a « mené une enquête sur cet accès non autorisé et nous avons mené différentes actions pour contrer cette menace immédiate. Nous implémentons également des améliorations dans Bugzilla pour améliorer la sécurité de nos produits, notre communauté de développeurs, mais aussi nos utilisateurs ». Si Bugzilla est un logiciel open source qui a été adopté par de nombreuses organisations, l’accès aux informations sensibles de sécurité est réservé afin que seules certaines personnes bénéficiant des privilèges adéquats puissent y accéder. Après l’attaque, « le compte qui a été piraté a été fermé peu de temps après que Mozilla ait découvert qu’il a été compromis ». Mozilla pense que les pirates ont utilisé des informations de Bugzilla pour exploiter une faille dans la sécurité de son navigateur Firefox qui a été colmatée le 06 août dernier, un jour après qu’elle ait été portée à la connaissance de la Fondation.
Mozilla a expliqué que la dernière version de Firefox (Firefox 40.0.3, qui a été publiée le 27 août) intègre un correctif de « toutes les vulnérabilités dont le pirate a eu connaissance et pourrait avoir utilisé pour attaquer des utilisateurs Firefox ».
Mozilla a pris des séries de mesures supplémentaires en dehors de fermer le compte qui a été piraté : « nous mettons à jour les pratiques de sécurité sur Bugzilla afin de réduire le risque de futures attaques de ce type. Tout d’abord, prenant effet immédiatement, tous les utilisateurs qui ont accès à des informations sensibles de sécurité ont été invités à changer leurs mots de passe et à se servir de l’authentification à deux facteurs. Nous réduisons le nombre d’utilisateurs avec des accès privilégiés et limitons également ce que chaque utilisateur privilégié peut faire. En d’autres termes, nous compliquons la tâche à un attaquant, limitant les possibilités d’effractions et réduisant la quantité d’informations qu’un attaquant pourrait obtenir s’il réussissait tout de même ».
Dans une FAQ, Mozilla révèle que le compte compromis avait accès à 185 bugs ; 110 étaient en mode protégé pour des raisons autres que la sécurité logiciel (par exemple des informations propriétaires), 22 étaient des failles avec un impact considéré comme mineur et 53 étaient classés parmi les vulnérabilités sévères. Seules 43 vulnérabilités sur les 53 sévères ont été colmatées dans la version de Firefox qui a été publiée au moment où le pirate en a pris connaissance, « les informations sur ces bugs n’auraient probablement pas pu être utilisées pour lancer une attaque contre les utilisateurs Firefox ». Cependant, Mozilla reconnait qu’il est techniquement possible que les 10 bugs restants aient pu être utilisés pour lancer une attaque contre les utilisateurs Firefox.
La faille qui aurait pu causer le plus de dégâts aux utilisateurs Firefox a été colmatée le 06 août dernier. « Nous savons qu’une attaque exploitant cette vulnérabilité a été utilisée pour recueillir des données personnelles d’utilisateurs de Firefox qui se sont rendus sur un site d’informations basé en Russie », a expliqué Mozilla.
Source : blog Mozilla, FAQ Mozilla (au format PDF)
forum Firefox 
Envoyé par NSKis
