Développé par Mozilla mais utilisé par de nombreux projets, Bugzilla est un logiciel - et plateforme - open source pour le suivi de bugs. Une grande partie de Bugzilla est publique mais de l'information sensible concernant la sécurité dispose d'un accès restreint.
Seuls certains utilisateurs avec un compte disposant des autorisations idoines peuvent en théorie accéder à une telle information. Un attaquant est toutefois parvenu à compromettre un compte privilégié et a pu dérober des informations au sujet de vulnérabilités dans Firefox et d'autres produits de Mozilla.
D'après les premiers éléments de l'enquête de Mozilla, l'accès non autorisé remonte à septembre 2014 mais l'intrusion de l'attaquant pourrait avoir eu lieu dès septembre 2013. Le mot de passe Bugzilla aurait été compromis parce que son utilisateur légitime l'a réutilisé pour un autre site dont des données ont été exfiltrées.
L'attaquant a pu accéder à 185 bugs non divulgués publiquement - et sur lesquels les développeurs planchaient - dont 53 de dangerosité élevée ou critique. Parmi ceux-ci, seuls 10 bugs de sécurité ont pu être exploités avant une correction effective dans Firefox.
Des attaques ne sont pas forcément confirmées à l'exception d'une vulnérabilité critique qui a été corrigée le 6 août dernier (Firefox 39.0.3). Autrement dit, Mozilla a corrigé ladite vulnérabilité mais un exploit était déjà dans la nature. En l'occurrence, Mozilla avait découvert une attaque sur un site russe d'actualité via des publicités malveillantes enfermant le code exploit. Il consistait à injecter un script JavaScript dans la visionneuse PDF intégrée pour lire et voler des fichiers locaux sur une machine prise pour cible.
Publiée le 27 août, la version 40.0.3 de Firefox corrige toutes les vulnérabilités pour lesquelles l'attaquant a pu prendre connaissance. Le compte compromis a bien évidemment été fermé et des améliorations de sécurité pour Bugzilla sont évoquées.
Les mots de passe de tous les utilisateurs de Bugzilla avec un compte permettant un accès à de l'information sensible sur des bugs de sécurité ont été réinitialisés. Ils ont en outre dorénavant l'obligation d'utiliser une authentification à deux facteurs.
Dans cette affaire, Mozilla fait preuve d'une grande transparence. On regrettera toutefois que les utilisateurs de Bugzilla avec des comptes sensibles n'aient pas été davantage sensibilisés au préalable à des mesures comme l'authentification à deux facteurs ou le fait de ne pas réutiliser un même mot de passe sensible ailleurs. Pourtant, on rebat les oreilles des utilisateurs lambda à ce sujet...
