Les hackers ciblent les utilisateurs de Firefox en volant des données de sécurité sensibles de Mozilla

Le système de suivi des bogues de Mozilla ciblé par des hackers pour attaquer les utilisateurs de Firefox

La Fondation Mozilla a confirmé vendredi que son système de suivi des bogues ‘Bugzilla’ avait été ciblé par un hacker via une exploitation de navigateur, qui a ensuite pu voler des informations sur des bogues zero-day non corrigés.

On suppose que les hackers pourraient être au courant des bogues zero-day non corrigés dans le navigateur web Firefox depuis un an ou plus. Selon Mozilla, l’attaquant a pu pénétrer le compte d’un utilisateur ayant un accès privilégié à Bugzilla, y compris les informations sur les failles zero-day non publiques.

« Il y a des indications que l’attaquant a pu avoir accès depuis septembre 2013 », a ajouté l’organisation à but non lucratif dans une FAQ [PDF] concernant la violation de sécurité. Cela signifie qu’avant que les failles ne soient corrigées, les hackers ont eu suffisamment de temps pour tirer pleinement parti et bénéficier de la faille logicielle.

Le hacker avait eu accès à environ 185 bogues secrets qui n’étaient pas publics, selon la FAQ. Parmi ces bogues, Mozilla a considéré 53 comme des vulnérabilités « sévères ». On dit que les plus anciens bogues n’ont pas été corrigés pendant 335 jours ou plus, ce qui signifie que les hackers ont eu plus de 11 mois pour exploiter les vulnérabilités avant qu’elles ne soient corrigées par les développeurs de Mozilla.

Au moment où le hacker a pénétré, 43 des failles sévères avaient déjà été corrigées dans le navigateur Firefox, affirme Mozilla. Cependant, le risque pour Firefox réside dans les 10 bogues restants auxquels le hacker avait accès avant qu’ils ne soient corrigés.

Concernant la violation, Mozilla a déclaré dans une FAQ : « L’un des bogues [ouverts] depuis moins de 36 jours a été utilisé pour une attaque utilisant une vulnérabilité qui a été corrigée le 6 août 2015. En dehors de cette attaque, cependant, nous n’avons pas de données indiquant que d’autres bogues ont été exploités. »

Le bogue que le hacker a pleinement exploité et dont il a bénéficié était de collecter des données privées d’un site d’actualités russe visité par les utilisateurs de Firefox.

Cependant, la partie intéressante de la violation de Bugzilla de Mozilla était qu’elle ne nécessitait pas que le hacker connaisse une faille zero-day pour compromettre Bugzilla et pourtant, le hacker a pu apprendre de nouvelles failles zero-day de Firefox.

« Les informations découvertes lors de notre enquête suggèrent que l’utilisateur a réutilisé son mot de passe Bugzilla avec un autre site, et le mot de passe a été révélé à travers une violation de données sur ce site », a déclaré la FAQ de Mozilla.

Cela signifie qu’il semble que quelqu’un avait un mot de passe qui ne devrait alors pas avoir accès ou peut-être un mot de passe faible, ou éventuellement réutilisé sur un autre site compromis. Dans l’ensemble, la réutilisation des mots de passe est un énorme problème, c’est pourquoi Google et Facebook, dans un effort pour protéger leurs utilisateurs contre les violations, examinent régulièrement les fuites de mots de passe.

Le responsable de la sécurité de Firefox, Richard Barnes, a écrit en détail sur ce que Mozilla fait pour améliorer la sécurité de Bugzilla dans un article de blog vendredi.

« Nous mettons à jour les pratiques de sécurité de Bugzilla pour réduire le risque de futures attaques de ce type. Comme première étape immédiate, tous les utilisateurs ayant accès à des informations sensibles en matière de sécurité ont été tenus de changer leurs mots de passe et d’utiliser l’authentification à deux facteurs. »

Ajoutant davantage, Barnes a déclaré qu’il y a aussi de nouvelles limites imposées sur ce que chaque niveau d’utilisateur privilégié peut accéder, de sorte que si un compte est compromis à l’avenir, le hacker ne pourra pas accéder à autant de données.

« Nous avons informé les autorités judiciaires compétentes au sujet de cet incident, et nous pourrions prendre des mesures supplémentaires en fonction des résultats de toute enquête ultérieure », a déclaré Barnes.

Il est surprenant de voir pourquoi auparavant Mozilla n’avait pas mis en œuvre l’authentification à deux facteurs pour ses informations sensibles, car sans cela, tout ce dont le hacker avait besoin pour accéder était un ensemble d’identifiants.

La dernière version de Firefox publiée la semaine dernière a corrigé tous les problèmes qui auraient pu être accessibles par le hacker dans le passé. Cela vient comme une bonne nouvelle pour les utilisateurs de Firefox et on espère que Mozilla sera désormais plus sérieux que jamais concernant sa propre sécurité.