Mozilla a récemment étendu son programme de rétribution pour la découverte de problèmes de sécurité aux applications Web. C'est via ce programme qu'un chercheur en sécurité informatique a prévenu Mozilla de sa trouvaille.
Une base de données riche de 44 000 comptes utilisateurs du site d'extensions pour Firefox et autres a été exposée sur un serveur public de Mozilla. De quoi donner quelques sueurs froides mais l'incident est à relativiser. Il s'agissait de comptes inactifs avec des mots de passe stockées sous la forme de hashes MD5 ( pas en clair ). Un système avec néanmoins certaines faiblesses et qui n'est par ailleurs plus utilisé par Mozilla depuis avril 2009.
Surtout, selon l'audit opéré, la seule personne ( en-dehors de l'équipe Mozilla ) qui a eu accès à cette base de données est celle qui a rapporté cette publication accidentelle à Mozilla. " Nous avons pu comptabiliser chaque téléchargement de la base de données. Ce problème présentait un risque minimal pour les utilisateurs ", peut-on lire sur le blog sécurité de Mozilla. " Les utilisateurs et comptes actuels d'addons.mozilla.org ne sont pas menacés. L'incident n'a pas eu d'impact sur l'infrastructure de Mozilla. "
Les 44 000 utilisateurs potentiellement affectés ont reçu une notification par e-mail. Dans tous les cas, leurs mots de passe ont été supprimés et leurs nouveaux sésames bénéficieront du système de hachage SHA-512 ( en vigueur depuis avril 2009 ). Le cas échéant, autant qu'ils s'assurent qu'ils n'avaient pas recours au même mot de passe Mozilla sur d'autres sites.
Publié le
par Jérôme G.
Journaliste GNT spécialisé en nouvelles technologies
Sur le même sujet
Cette page peut contenir des liens affiliés. Si vous achetez un produit depuis ces liens, le site marchand nous reversera une commission sans que cela n'impacte en rien le montant de votre achat. En savoir plus.