Firefox visé par une attaque

AuthentificationRisquesSécurité
fondation-mozilla-attaque-firefox

Mozilla a repéré un accès non autorisé sur son outil collaboratif Bugzilla. La cible serait les utilisateurs de Firefox.

La Fondation Mozilla craint qu’un pirate soit parvenu à subtiliser des données sensibles en provenance de Bugzilla du nom de son outil de détection des bugs.

Du coup, elle craint un assaut sur les utilisateurs de son navigateur Internet Firefox.

L’alerte a été donnée vendredi 4 septembre dans une contribution sur le blog « Sécurité » de la Fondation Mozilla.

Richard Barnes, un des principaux ingénieurs « sécurité » de l’organisation, tire le signal d’alarme.

« Nous avons découvert aujourd’hui que quelqu’un a été en mesure de voler des informations sensibles de Bugzilla », révèle-t-il. « Nous pensons que ces élément peuvent être exploités pour attaquer les utilisateurs de Firefox. »

Tout en poursuivant : « Mozilla mène une enquête à propos de cet accès non autorisé et nous avons pris une série de mesures visant à cerner cette menace. »

Ainsi, le compte par lequel le pirate s’est infiltré a été fermé dès sa découverte par la Fondation Mozilla.

Quel levier pour monter l’assaut? Richard Barnes a déjà une petite idée sur le sujet. « Nous estimons que le pirate a utilisé des informations en provenance de Bugzilla pour exploiter une brèche que nous avons colmatée le 6 août ».

Dans la partie FAQ (fichier PDF) dédiée à cette alerte de sécurité IT, Mozilla précise que la première instance non autorisée qui a été repéré remonte à septembre 2014. Mais des « indications » montrent que l’infiltration aurait pu démarrer un an plus tôt.

L’organisation, qui joue la carte de la transparence vis-à-vis de sa communauté, assure n’avoir pas d’éléments probants à propos d’incidences sur les utilisateurs de Firefox.

La version du navigateur Internet, dévoilée le 27 août, intègre tous les correctifs des vulnérabilités susceptibles d’être manipulées par l’assaillant. Par conséquent, il est vivement conseillé d’adopter la dernière version du navigateur mis à jour.

Bugzilla : sécurité renforcée

Afin de blinder la protection associée à Bugzilla, l’équipe de sécurité a pris plusieurds mesures : « Nous avons réactualisé les règles de sécurité afin de réduire les risques d’attaques futures de cette manière. »

Cela commence par une ré-initialisation des codes d’accès des utilisateurs ayant accès aux informations les plus sensibles avec usage d’un système d’authentification à deux facteurs.

Tandis que le nombre d’administrateurs disposant d’un accès privilégié à la plateforme Bugzilla a été réduit. Tout comme les domaines d’accès pour limiter les éventuels débordements.

Bugzilla joue un rôle central dans la communauté des développeurs de l’écosystème Mozilla. C’est un outil permettant la coordination des contributeurs et un point d’ancrage pour interagir avec l’ensemble de la communauté.

Une grande partie des informations est accessible au grand public mais un espace est réservé aux développeurs qui s’impliquent le plus dans les projets et qui sont donc susceptibles de manier des informations plus sensibles.

La Fondation Mozilla a également transmis les éléments suspects à la police en vue d’une enquête.

Selon les sources pour évaluer les parts de marché par navigateur Internet (NetApplications, StatCounter), Firefox dispose d’une part de marché située entre 11 % et 17% sur le desktop.

Il resterait en compétition face à Internet Explorer (Microsoft) mais serait largement dépassé par l’Influence de Chrome (Google).

Lire aussi :

Lire la biographie de l´auteur  Masquer la biographie de l´auteur