Connexion
Abonnez-vous

Bugzilla piraté : des données sensibles sur des failles de Firefox dérobées

Du coup, elles ont été rapidement bouchées

Bugzilla piraté : des données sensibles sur des failles de Firefox dérobées

Le 07 septembre 2015 à 06h30

Mozilla a récemment dû faire face à un épineux problème de sécurité : son logiciel Bugzilla a été piraté et des données sensibles sur des failles de Firefox dérobées. Le navigateur a depuis été patché et de nouvelles mesures de sécurité ont été mises en place.

L'équipe en charge de la sécurité chez Mozilla a publié un billet de blog afin d'expliquer que Bugzilla, son logiciel libre de suivi et de gestion de bugs, avait été piraté il y a quelque temps. Un attaquant (dont l'origine n'a pas été précisée) a accédé à un compte utilisateur avec un haut niveau de privilèges afin de récupérer des données sensibles concernant Firefox. Mozilla ne précise par contre pas exactement quand cela a eu lieu.

Des informations sur des failles non colmatées

Au-delà des simples bugs qui sont sans gravité pour la sécurité, dans Bugzilla on peut également trouver des informations critiques sur des failles qui sont exploitables. Elles ne sont évidemment pas accessibles de manière publique, mais à certains utilisateurs seulement. Problème, c'était justement le cas du compte dont il est aujourd'hui question.

« Nous pensons que l'attaquant a utilisé ces données afin d'attaquer des utilisateurs de Firefox » précise la fondation. Elle ajoute en outre qu'elle « a mené une enquête sur cet accès non autorisé, et pris plusieurs mesures afin de résoudre la menace immédiate ». La mise à jour de sécurité du début du mois d'août sur son lecteur PDF est en effet une conséquence directe de ce piratage. « Nous n'avons aucun indice laissant penser que d'autres informations obtenues par l'attaquant ont été utilisées contre des utilisateurs de Firefox » ajoute Mozilla.

Néanmoins, la fondation ajoute que « la version de Firefox mise en ligne le 27 août [NDLR : estampillée 40.0.3] bouche toutes les vulnérabilités dont dispose l'attaquant et qu'il aurait pu utiliser afin de nuire aux utilisateurs de Firefox ». Si ce n'est pas déjà fait, il est donc important de mettre à jour votre navigateur. Pour cela, il suffit généralement de le redémarrer et de vérifier sa version dans le menu « À propos ». 

La sécurité des comptes privilégiés de Bugzilla renforcée

Ce n'est évidemment pas tout et « les pratiques de sécurité » de Bugzilla ont été renforcées afin d'éviter de nouveaux déboires. « Comme première étape immédiate, tous les utilisateurs ayant accès à des informations sensibles pour la sécurité doivent changer leurs mots de passe et utiliser l'identification à deux facteurs. Nous réduisons le nombre d'utilisateurs ayant un accès privilégié tout en limitant ce que chaque utilisateur privilégié peut faire » explique la fondation.

Bref, Bugzilla veut limiter les risques en renforçant la sécurité à sa porte d'entrée, tout en cloisonnant un peu plus l'information afin de limiter les dégâts dans le cas où elle serait tout de même forcée. Des initiatives qui vont dans le bon sens, mais qui auraient probablement pu être mises en place avant.

Commentaires (44)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Voilà pourquoi il faut éviter les logiciels libres. Déjà le fait que le source soit libre est un grand danger car cela facilite le travail de recherche de failles, faire un site comme Bugzilla est encore pire il n’y a plus aucune recherche à faire juste à lire.

votre avatar

JVachez sort de ce corps ! <img data-src=" />

votre avatar

<img data-src=" /> fallait faire ca ce matin, maintenant tous les poissons sont partis dormir <img data-src=" />

votre avatar

@Jarodd : C’est le principe que je trouve étonnant. Je n’ai pas dit que tu n’avais pas dit qu’il y avait vol.

votre avatar

Eh pourtant c’est un cas similaire au “ce n’est pas du piratage, le vilain a juste utilisé le mot de passe d’un super user”.

C’est une intrusion donc un piratage…

votre avatar







Romaindu83 a écrit :



Selon Mozilla, des indices montreraient que l’intrusion auraient eu lieu dès septembre 2013. Le compte utilisateur concerné a été clôturé, mais seulement en septembre 2014.

&nbsp;

Toujours selon Mozilla, le hackeur aurait pu exploiter au moins 10 des 53 failles de sécurité.

&nbsp;

Ce n’est que depuis le 27 août 2015 que Mozilla a comblé l’intégralité de ces failles de sécurité. &nbsp;



Non : Mozilla ne c’est rendu compte que récemment (aout 2015) que le compte a été compromis et l’a immédiatement fermé. C’est en remontant l’historique des connexion de ce compte qu’il ont ensuite conclu qu’il était compromis depuis au moins Septembre 2014 et peut-être jusqu’à Septembre 2013.



&nbsp;&nbsp;Ils ont communiqué dessus dès qu’il ont fait le point sur l’étendue du problème et décidé des règles des nouvelles règles de sécurité a appliquer pour éviter que cela se reproduise.


votre avatar







athlon64 a écrit :



Tout au feeling <img data-src=" />





<img data-src=" />


votre avatar







mdc888 a écrit :



je la garde celle-la… Je vais même l’afficher au boulot !





Je la vois tous les jours en arrivant au boulot <img data-src=" />





Dude76 a écrit :



Énorme ! <img data-src=" />

M’en vais la colporter … vivement le prochain qui ne fasse ne serait-ce qu’évoquer le mot “test”.









Charly32 a écrit :



Géant, au boulot on fait du logiciel critique (DO178 et tout le toutim), ça devrait leur plaire <img data-src=" />





Soit on est bon, soit on l’est pas <img data-src=" />





ActionFighter a écrit :



<img data-src=" />





Une autre a l’opposée réaliste cette fois <img data-src=" />


votre avatar



Un attaquant (dont l’origine n’a pas été précisée)



&nbsp;

&nbsp;Ca vient de la Russie (je ne retrouve plus la source).&nbsp; edit : les données récupérées se sont retrouvées sur un site russe (doc Mozilla)



Je trouve moyen de parler de “piratage”. Le gars a utilisé son mot de passe sur plusieurs services, donc le vilain l’a trouvé et est entré sur son compte Bugzilla. En quoi est-ce un piratage ? Il n’a pas utilisé une faille de Bugzilla, ni du côté de Mozilla, vous laissez croire que c’est le cas <img data-src=" />

&nbsp;

&nbsp;

votre avatar

ici, c’est dis en restant flou, sur un autre site ça valait plutôt le piratage massif de données utilisateurs…

votre avatar







Jarodd a écrit :



Je trouve moyen de parler de “piratage”. Le gars a utilisé son mot de passe sur plusieurs services, donc le vilain l’a trouvé et est entré sur son compte Bugzilla. En quoi est-ce un piratage ? Il n’a pas utilisé une faille de Bugzilla, ni du côté de Mozilla, vous laissez croire que c’est le cas <img data-src=" />

&nbsp;





Un piratage par social engineering reste un piratage.


votre avatar

Heu, je ne comprend pas trop le problème. Bugzilla, c’est bien un logiciel de tracking de bug ? Un système de billet comme on trouve sur tout plein de logiciel. Généralement ces billets sont publics (pour éviter les multiposts) non ? Du coup, qu’est ce qui était privé que les “pirates” ont pu récupérer ? Surtout que là on est dans un logiciel “open source” (totalement ?) du coup j’ai envie de dire que c’est un peu dans la philosophie de partager ça avec la communauté (faire l’inverse pourrait être mal pris ).

votre avatar

@Jarodd : C’est étonnant comme façon de penser.

&nbsp;Je trouve la clé de ta voiture que tu as oublié sur ton bureau au taff. Je prends ta voiture, tu considères que je ne te l’ai pas volé ?

&nbsp;Le piratage n’est pas uniquement lié à l’utilisation d’une faille de sécurité…

&nbsp;Grillé par alex.d.

votre avatar







alex.d. a écrit :



Si tu ne vois pas l’utilité de bugzilla, c’est que tu n’as jamais programmé… ou que tu codes sans bug <img data-src=" />





Savoir coder, c’est comme savoir écrire le français: d’un coté, il y a les&nbsp; gens normaux qui écrivent à la Victor Hugo et, de l’autre, il y a les adeptes du langage sms.&nbsp;

&nbsp;Malheureusement, aujourd’hui, il y a beaucoup plus d’adeptes des sms que de M. Hugo.

&nbsp;

Et bien évidemment, c’est la même chose en matière de programmation: beaucoup codent alors qu’ils ne sont pas capables d’écrire une opération simple sans créer un bug.

&nbsp;

&nbsp;Le bug, qui était censé être l’exception, est devenu la règle.

&nbsp;C’est triste.


votre avatar

Purée , c’est mieux le Vendredi on vous dit <img data-src=" />

votre avatar

On parle d’info sensible comme par exemple la précédure pour péter la sécurité <img data-src=" />



Il y a une différence entre dire : “Firefox est vulnérable face à tel attaque” et “Pour péter firefox suivre les instructions suivantes : 1/ …” <img data-src=" />

votre avatar







tazvld a écrit :



Heu, je ne comprend pas trop le problème. Bugzilla, c’est bien un logiciel de tracking de bug ? Un système de billet comme on trouve sur tout plein de logiciel. Généralement ces billets sont publics (pour éviter les multiposts) non ? Du coup, qu’est ce qui était privé que les “pirates” ont pu récupérer ? Surtout que là on est dans un logiciel “open source” (totalement ?) du coup j’ai envie de dire que c’est un peu dans la philosophie de partager ça avec la communauté (faire l’inverse pourrait être mal pris ).

&nbsp;



Alors oui dans le&nbsp; Bugzilla utilisé pour le projet Firefox, par défaut tout est public. Cependant il y a une exception quand il s’agit de faille de sécurités exploitables. Dans ce cas là les tickets sont laissés privés et seulement accessibles aux experts sécurités reconnus comme fiables par la fondation Mozilla tant qu’il n’ont pas été corrigés, testés et livrés dans une version corrective. Une fois le correctif disponible ils deviennent publics.

&nbsp;

&nbsp;

Or là un pirate a eu accès a un compte d’un expert sécurité et a pu pendre connaissance d’un faille en cours de correction pour l’exploiter avant que le correctif soit livré.


votre avatar

Dans un billet, généralement tu as besoin de décrire les détails de comment provoquer le bug pour que les dev puissent le reproduire, l’étudier et enfin le corriger.

votre avatar

Ha, ok, je comprends mieux.

votre avatar

oh le FUD !

&nbsp;

trop gros, passera pas <img data-src=" />

votre avatar

J’avoue avoir du mal à comprendre l’intérêt d’avoir un logiciel qui regroupe toutes les failles de sécurité dont dispose un autre logiciel.

&nbsp;

SI on trouve une faille, on essaye de la colmater, surtout si celle-ci est assez critique.

votre avatar
votre avatar

Si tu ne vois pas l’utilité de bugzilla, c’est que tu n’as jamais programmé… ou que tu codes sans bug <img data-src=" />

votre avatar







alex.d. a écrit :



Si tu ne vois pas l’utilité de bugzilla, c’est que tu n’as jamais programmé… ou que tu codes sans bug <img data-src=" />





Tout au feeling <img data-src=" />


votre avatar

je la garde celle-la… Je vais même l’afficher au boulot !

&nbsp;

votre avatar

Enorme !

&nbsp;

Mais ca serait mieux passé un dredi ^^

votre avatar

Énorme ! <img data-src=" />

M’en vais la colporter … vivement le prochain qui ne fasse ne serait-ce qu’évoquer le mot “test”.

votre avatar

Géant, au boulot on fait du logiciel critique (DO178 et tout le toutim), ça devrait leur plaire <img data-src=" />

votre avatar







Xanatos a écrit :



oh le FUD !



Pour le coup c’est Mozilla qui pratique cela, et ça marche, je viens de maj sur mon poste.


votre avatar

Suis assez d’accord, il manque l’info sur le timing, ce qui est louche …

&nbsp;

&nbsp;edit : d’ailleurs &nbsp;ils disent :

&nbsp;We believe that the attacker used information from Bugzilla to exploit the vulnerability we patched on August 6. &nbsp;

&nbsp;

&nbsp;donc l’accés semble antérieur à début août, il a pu en exploiter pas mal d’autres entre le 6 et le 27 …&nbsp;

votre avatar

Eh ben! Un gars avec un compte expert qui utilise le même mot de passe, le tout dans double identification… Il devrait changer de métier

votre avatar

Oui, d’après le pdf en lien en bas de la page ils disent “confirmé septembre 2014, potentiellement dès septembre 2013”, donc il a bien pu s’amuser pendant un moment…

votre avatar

#opensourcefail



Allez, lâchez les fauves

votre avatar







alex.d. a écrit :



Un piratage par social engineering reste un piratage.







social engineering, il y a manipulation d’une personne, là c’est juste un piratage par cretinerie


votre avatar

Ou même, il devra, parce que sa réputation est grillée…

votre avatar

en effet, c’est là que c’est chaud, si ça dure depuis 2 ans, voire plus … Le gars a pu s’amuser. Mais comme rien de massif n’a été lancé on dirait, c’est peut être pour de l’exploitation très ciblée … et tout de suite on pense gouvernemental quand c’est comme ça.

votre avatar







Jarodd a écrit :



Je trouve moyen de parler de “piratage”. Le gars a utilisé son mot de passe sur plusieurs services, donc le vilain l’a trouvé et est entré sur son compte Bugzilla. En quoi est-ce un piratage ? Il n’a pas utilisé une faille de Bugzilla, ni du côté de Mozilla, vous laissez croire que c’est le cas <img data-src=" />&nbsp;





Tout le monde a emboité le pas à ce com’… Je ne vois nulle part mention de cela dans l’actu, et personne n’a donné de source fiable allant en ce sens.

&nbsp;Ok, c’est un lien qui est donné dans le blog.&nbsp; En revanche aucune info sur la source russe.


votre avatar







Mesc@lito a écrit :



@Jarodd : C’est étonnant comme façon de penser.



&nbsp;Je trouve la clé de ta voiture que tu as oublié sur ton bureau au taff. Je prends ta voiture, tu considères que je ne te l'ai pas volé ?      

&nbsp;Le piratage n'est pas uniquement lié à l'utilisation d'une faille de sécurité...



&nbsp;Grillé par alex.d.





Merci de ne pas interpréter mes propos. Je n’ai jamais dit qu’il n’y avait pas eu vol…


votre avatar

Il n’y a que moi qui m’étrangle d’indignation en lisant cela ?&nbsp;

Un individu mal intentionné accède aux vulnérabilités d’un navigateur internet utilisé par des centaines de millions de personnes, et la fondation Mozilla communique dessus un an après seulement ? C’est pas franchement un modèle de transparence.

Et 335 jours pour combler une faille éventée, no comment.

&nbsp;



&nbsp;Rappel du Manifeste de la fondation :&nbsp;

&nbsp;#4 La sécurité des personnes sur Internet est fondamentale et ne doit pas être facultative.&nbsp;#8&nbsp;Des processus transparents et communautaires favorisent la participation, la responsabilité et la confiance.&nbsp;

&nbsp;J’ai le sentiment que la sécurité des personnes et les processus transparents ont été négligés pour éviter l’effet de fuite et préserver leur part de marché.

votre avatar

Vous faites une mauvaise interprétation :







Borée a écrit :



Un individu mal intentionné accède aux vulnérabilités d’un navigateur internet utilisé par des centaines de millions de personnes, et la fondation Mozilla communique dessus un an après seulement ? C’est pas franchement un modèle de transparence.



On ne sait pas exactement depuis combien de temps le compte est compromis, il l’est depuis probalement un an. Mais un seule exploitation récente a été observée. La fondation ne c’est rendu compte du problème que très récemment et a communiqué dessus au contraire plutôt vite.

&nbsp;



Borée a écrit :



Et 335 jours pour combler une faille éventée, no comment.



Vous mélangez le compte bugzilla compromis et les faille exploitées. Le compte bugzilla a en effet été compromis un an, mais il a bien évidement été verrouillé dès que Mozilla en a eu connaissance.

Les failles de sécurité connues ne restent jamais ouvertes plus d’un cycle (6 semaines), voire beaucoup moins si elles sont déjà exploitées(quelques jours au plus) comme ça a été le cas.


votre avatar

Merci pour votre réponse.

&nbsp;

&nbsp;Je cite toutefois le billet de Mozilla :&nbsp;

&nbsp;

&nbsp;How long did the attacker have access?&nbsp;The earliest confirmed instance of unauthorized access dates to September 2014. Thereare some indications that the attacker may have had access since September 2013.&nbsp;https://ffp4g1ylyit3jdyti1hqcvtb-wpengine.netdna-ssl.com/security/files/2015/09/BugzillaFAQ.pdf&nbsp;

Sachant que nous sommes en septembre 2015, et que la fondation affirme qu’il y a des éléments tendant à affirmer que la personne a accédé au compte dès septembre 2013, j’ai tendance à croire que c’est vous qui faites une mauvaise interprétation.

votre avatar







Uther a écrit :



Les failles de sécurité connues ne restent jamais ouvertes plus d’un cycle (6 semaines), voire beaucoup moins si elles sont déjà exploitées(quelques jours au plus) comme ça a été le cas.







&nbsp;Je recite les informations de Mozilla :&nbsp;

&nbsp;For the remaining 10 bugs, the attacker had some window of time between when the bugwas accessed and when it was fixed in Firefox:2 bugs Less than 7 days5 bugs Between 7 days and 36 days3 bugs More than 36 days (131 days, 157 days, 335 days)&nbsp;

&nbsp;Donc 335 jours pour fixer le dernier bug. Source : Mozilla.

&nbsp;

https://ffp4g1ylyit3jdyti1hqcvtb-wpengine.netdna-ssl.com/security/files/2015/09/…

&nbsp;



&nbsp;&nbsp;&nbsp;Autre mauvaise interprétation de ma part à signaler ?


votre avatar

En effet j’ai lu un peu vite la faq. Il est cependant bien précisé qu’une partie des bugs étaient mineurs, et pour que ce bug soit resté ouvert si longtemps, il y a fort a parier que c’était le cas.&nbsp; Les bugs majeurs sont corrigés au plus tôt.

&nbsp;

&nbsp;Et en tout cas Mozilla n’était pas au courant qu’il avait fuité avant il y a peu et a communiqué plutôt vite.

&nbsp;

votre avatar

Selon Mozilla, des indices montreraient que l’intrusion auraient eu lieu dès septembre 2013. Le compte utilisateur concerné a été clôturé, mais seulement en septembre 2014.

&nbsp;

Toujours selon Mozilla, le hackeur aurait pu exploiter au moins 10 des 53 failles de sécurité.

&nbsp;

Ce n’est que depuis le 27 août 2015 que Mozilla a comblé l’intégralité de ces failles de sécurité.

&nbsp;

Pourquoi avoir attendu aujourd’hui pour faire cette communication ? D’après ce que je comprend, Mozilla voulait d’abord combler toutes les failles de sécurité concernés avant de faire cette communication, d’où cette annonce officielle tardive. Mais tout de même… et les utilisateurs ? Il ont utilisé un navigateur qui, jusqu’au 27 août 2015, était vulnérable. Ca n’a pas eu l’air de déranger Mozilla.

&nbsp;

Je ne vais pas me montrer clément parce que c’est Mozilla… mais, de toute façon, je sais pertinemment que beaucoup de hacking ne sont jamais rendu public. Trop souvent, nous ne savons même pas que nous utilisons des logiciels défaillants ou que nos données personnelles se sont retrouvées dans la nature.

Bugzilla piraté : des données sensibles sur des failles de Firefox dérobées

  • Des informations sur des failles non colmatées

  • La sécurité des comptes privilégiés de Bugzilla renforcée

Fermer