Mozilla laisse échapper de vieux comptes utilisateurs

Mozilla a récemment étendu son programme de rétribution pour la découverte de problèmes de sécurité aux applications Web. C'est via ce programme qu'un chercheur en sécurité informatique a prévenu Mozilla de sa trouvaille.

Une base de données riche de 44 000 comptes utilisateurs du site d'extensions pour Firefox et autres a été exposée sur un serveur public de Mozilla. De quoi donner quelques sueurs froides mais l'incident est à relativiser. Il s'agissait de comptes inactifs avec des mots de passe stockées sous la forme de hashes MD5 ( pas en clair ). Un système avec néanmoins certaines faiblesses et qui n'est par ailleurs plus utilisé par Mozilla depuis avril 2009.

Surtout, selon l'audit opéré, la seule personne ( en-dehors de l'équipe Mozilla ) qui a eu accès à cette base de données est celle qui a rapporté cette publication accidentelle à Mozilla. " Nous avons pu comptabiliser chaque téléchargement de la base de données. Ce problème présentait un risque minimal pour les utilisateurs ", peut-on lire sur le blog sécurité de Mozilla. " Les utilisateurs et comptes actuels d'addons.mozilla.org ne sont pas menacés. L'incident n'a pas eu d'impact sur l'infrastructure de Mozilla. "

Les 44 000 utilisateurs potentiellement affectés ont reçu une notification par e-mail. Dans tous les cas, leurs mots de passe ont été supprimés et leurs nouveaux sésames bénéficieront du système de hachage SHA-512 ( en vigueur depuis avril 2009 ). Le cas échéant, autant qu'ils s'assurent qu'ils n'avaient pas recours au même mot de passe Mozilla sur d'autres sites.