Du piratage pour attaquer les utilisateurs de Firefox

Le par  |  6 commentaire(s) Source : Mozilla
Firefox-nouveau-logo

Bugzilla de Mozilla a été la cible d'un piratage informatique. Des données dérobées ont été exploitées pour des attaques visant les utilisateurs de Firefox. Mais le pire a sans doute été évité.

Développé par Mozilla mais utilisé par de nombreux projets, Bugzilla est un logiciel - et plateforme - open source pour le suivi de bugs. Une grande partie de Bugzilla est publique mais de l'information sensible concernant la sécurité dispose d'un accès restreint.

Bugzilla-logoSeuls certains utilisateurs avec un compte disposant des autorisations idoines peuvent en théorie accéder à une telle information. Un attaquant est toutefois parvenu à compromettre un compte privilégié et a pu dérober des informations au sujet de vulnérabilités dans Firefox et d'autres produits de Mozilla.

D'après les premiers éléments de l'enquête de Mozilla, l'accès non autorisé remonte à septembre 2014 mais l'intrusion de l'attaquant pourrait avoir eu lieu dès septembre 2013. Le mot de passe Bugzilla aurait été compromis parce que son utilisateur légitime l'a réutilisé pour un autre site dont des données ont été exfiltrées.

L'attaquant a pu accéder à 185 bugs non divulgués publiquement - et sur lesquels les développeurs planchaient - dont 53 de dangerosité élevée ou critique. Parmi ceux-ci, seuls 10 bugs de sécurité ont pu être exploités avant une correction effective dans Firefox.

Des attaques ne sont pas forcément confirmées à l'exception d'une vulnérabilité critique qui a été corrigée le 6 août dernier (Firefox 39.0.3). Autrement dit, Mozilla a corrigé ladite vulnérabilité mais un exploit était déjà dans la nature. En l'occurrence, Mozilla avait découvert une attaque sur un site russe d'actualité via des publicités malveillantes enfermant le code exploit. Il consistait à injecter un script JavaScript dans la visionneuse PDF intégrée pour lire et voler des fichiers locaux sur une machine prise pour cible.

Publiée le 27 août, la version 40.0.3 de Firefox corrige toutes les vulnérabilités pour lesquelles l'attaquant a pu prendre connaissance. Le compte compromis a bien évidemment été fermé et des améliorations de sécurité pour Bugzilla sont évoquées.

Les mots de passe de tous les utilisateurs de Bugzilla avec un compte permettant un accès à de l'information sensible sur des bugs de sécurité ont été réinitialisés. Ils ont en outre dorénavant l'obligation d'utiliser une authentification à deux facteurs.

Dans cette affaire, Mozilla fait preuve d'une grande transparence. On regrettera toutefois que les utilisateurs de Bugzilla avec des comptes sensibles n'aient pas été davantage sensibilisés au préalable à des mesures comme l'authentification à deux facteurs ou le fait de ne pas réutiliser un même mot de passe sensible ailleurs. Pourtant, on rebat les oreilles des utilisateurs lambda à ce sujet...

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1858416
"une attaque sur un site russe d'actualité via des publicités malveillantes enfermant le code exploit. Il consistait à injecter un script JavaScript dans la visionneuse PDF intégrée"
=>Voilà ce qui arrive quand on produit un navigateur qui fait le café et les toasts. Des failles spécifiques aux toasts mais qui font chier même ceux qui ne mangent que des tartines froides.
Le #1858442
Mmmmh... Hors de question que je passe à Chrome, Safari ou autre, je resterais chez Firefox, quoi qu'il arrive, si problème il y a, je suis patient.
Le #1858553
Axaenigma a écrit :

Mmmmh... Hors de question que je passe à Chrome, Safari ou autre, je resterais chez Firefox, quoi qu'il arrive, si problème il y a, je suis patient.


Perso j'aimerais bien me servir que de lui, mais c'est tout simplement impossible ! Firefox n'est utilisable que quand absolument aucun autre programme n'utilise le hdd... La seul solution serait que j'achète un ssd, mais j'ai pas les moyens !
Le #1858603
belloir74 a écrit :

Axaenigma a écrit :

Mmmmh... Hors de question que je passe à Chrome, Safari ou autre, je resterais chez Firefox, quoi qu'il arrive, si problème il y a, je suis patient.


Perso j'aimerais bien me servir que de lui, mais c'est tout simplement impossible ! Firefox n'est utilisable que quand absolument aucun autre programme n'utilise le hdd... La seul solution serait que j'achète un ssd, mais j'ai pas les moyens !


C'est vrai que les accès disque de Firefox sont juste hallucinants, et n'ont pas l'air de préoccuper les dév donc c'est pas près de changer...
Ma session du jour, depuis ~4h (mais avec relativement peu d'activité car j'ai surtout fait autre chose avec Fx ouvert en tâche de fond) : plus de 16 Go de reads et de 1.2 Go de writes ! Et NB j'ai pas téléchargé un seul truc...
Le #1858651
bugmenot a écrit :

belloir74 a écrit :

Axaenigma a écrit :

Mmmmh... Hors de question que je passe à Chrome, Safari ou autre, je resterais chez Firefox, quoi qu'il arrive, si problème il y a, je suis patient.


Perso j'aimerais bien me servir que de lui, mais c'est tout simplement impossible ! Firefox n'est utilisable que quand absolument aucun autre programme n'utilise le hdd... La seul solution serait que j'achète un ssd, mais j'ai pas les moyens !


C'est vrai que les accès disque de Firefox sont juste hallucinants, et n'ont pas l'air de préoccuper les dév donc c'est pas près de changer...
Ma session du jour, depuis ~4h (mais avec relativement peu d'activité car j'ai surtout fait autre chose avec Fx ouvert en tâche de fond) : plus de 16 Go de reads et de 1.2 Go de writes ! Et NB j'ai pas téléchargé un seul truc...


Ah enfin, je ne suis pas le seul à avoir ce problème ! C'est pour ça que j'aime bien chrome : il consomme beaucoup de ram car tout ce dont il a besoin pour fonctionner est dedans, et si il a quelque chose à faire dans le hdd, il ne se bloque pas si celui-ci est occupé, il attend juste son tour !
Et je serais bien curieux de voir l'impact de ces accès disque sur l'autonomie !
Le #1858679
belloir74 a écrit :

bugmenot a écrit :

belloir74 a écrit :

Axaenigma a écrit :

Mmmmh... Hors de question que je passe à Chrome, Safari ou autre, je resterais chez Firefox, quoi qu'il arrive, si problème il y a, je suis patient.


Perso j'aimerais bien me servir que de lui, mais c'est tout simplement impossible ! Firefox n'est utilisable que quand absolument aucun autre programme n'utilise le hdd... La seul solution serait que j'achète un ssd, mais j'ai pas les moyens !


C'est vrai que les accès disque de Firefox sont juste hallucinants, et n'ont pas l'air de préoccuper les dév donc c'est pas près de changer...
Ma session du jour, depuis ~4h (mais avec relativement peu d'activité car j'ai surtout fait autre chose avec Fx ouvert en tâche de fond) : plus de 16 Go de reads et de 1.2 Go de writes ! Et NB j'ai pas téléchargé un seul truc...


Ah enfin, je ne suis pas le seul à avoir ce problème ! C'est pour ça que j'aime bien chrome : il consomme beaucoup de ram car tout ce dont il a besoin pour fonctionner est dedans, et si il a quelque chose à faire dans le hdd, il ne se bloque pas si celui-ci est occupé, il attend juste son tour !
Et je serais bien curieux de voir l'impact de ces accès disque sur l'autonomie !


"Ah enfin, je ne suis pas le seul à avoir ce problème !"
=>Non, mais le pire c'est qu'en effet j'ai parfois l'impression qu'on n'est pas nombreux à l'avoir.... ça crève pourtant tellement les yeux que c'est difficile à croire. J'avais reporté le problème sur je sais plus quel forum +/- officiel, on m'avais dit que c'est parce que j'utilisais une nightly... mais bien sûr, ça fait au moins 15 versions que c'est comme ça, aussi bien en nightly, qu'en beta, qu'en stable, et qu'en fork (Cyberfox pour ne pas le citer). Sans parler du fait qu'en plus j'ai pourtant désactivé le cache disque...

Cela dit c'est possiblement une ou certaines extensions qui fiche le bordel (car Tor Browser ne semble pas affecter par le problème)... Reste à trouver lesquelles

"Et je serais bien curieux de voir l'impact de ces accès disque sur l'autonomie !"
=>étant sur un SSD, le seul aspect qui m'inquiète un peu c'est l'usure en écriture (plusieurs Go par jour rien que pour Fx, quand même - c'est plus que tout le reste réuni)
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]