Mozilla annonce que son système de suivi des bugs, Bugzilla, a été piraté. Des données sensibles ont été dérobées à cette occasion. La fondation estime qu'elles ont été utilisées pour attaquer des usagers de Firefox. Elle invite chacun à mettre à jour le navigateur web afin de colmater les brèches qui pourraient être exploitées.

Très utile à Mozilla pour effectuer le suivi des bugs détectés dans ses logiciels, qui l'a d'ailleurs conçu à cette fin, Bugzilla est un logiciel libre qui est aujourd'hui utilisé avec satisfaction par des dizaines de projets de plus ou moins grande envergure (Linux, OpenOffice, LibreOffice, Red Hat, Mandriva, Gnome, KDE, etc) pour coordonner la résolution de problèmes qui pourraient survenir au cours du développement.

Mais comme tout système, Bugzilla n'est pas immunisé face aux attaques. C'est ce que vient de rappeler la fondation dans un article publié vendredi. En effet, une opération a ciblé la déclinaison de Bugzilla qu'utilise Mozilla pour suivre les bugs dans Firefox. À cette occasion, des données sensibles liées à la sécurité ont pu être dérobées par le ou les assaillants.

"Nous pensons qu'ils ont utilisé ces informations pour attaquer des usagers de Firefox. Mozilla a procédé à une enquête sur cet accès non-autorisé et nous avons pris un certain nombre de mesures pour contrer cette menace immédiate. Nous procédons aussi à des améliorations sur Bugzilla afin d'assurer la sécurité de nos produits, de notre communauté de développeurs et de nos usagers", écrit la fondation.

Mozilla estime que les attaquants ont ensuite utilisé les failles de sécurité qui figuraient dans le navigateur avant la publication de la version 39.0.3, qui a justement servi à les colmater. Parmi les informations subtilisées figuraient des indications sur des bugs plus ou moins critiques n'étant pas encore réparés.

La fondation recommande vivement de mettre à jour Firefox avec la déclinaison la plus récente (40.0.3), qui corrige toutes les brèches qui pourraient être utilisées pour s'en prendre aux internautes.

D'autres mesures ont été décidées : le compte piraté via lequel l'attaque contre Bugzilla a été effectuée a été fermé, tandis que tous les membres ayant accès des données sensibles ont été contraints de changer de mot de passe et d'activer la vérification en deux étapes. Enfin, il a été décidé de réduire autant que possible le nombre de personnes pouvant avoir accès à des privilèges d'utilisateur.

Partager sur les réseaux sociaux

Articles liés