La fondation Mozilla divulgue accidentellement les mots de passe de 44 000 comptes

Idelways · 29/12/2010, 12h38

La fondation Mozilla divulgue accidentellement les mots de passe de 44 000 comptes
Liés à son catalogue d'extensions

La fondation Mozilla a malencontreusement exposé les mots de passe d'environ 44 000 comptes utilisateurs de son catalogue d'extensions en laissant une sauvegarde d'une base de donnée dans un espace web publique.

La fondation assure avoir pris depuis les précautions nécessaires pour que cet accident ne puisse pas avoir d'effet néfaste.

Seuls des comptes créés avant le 9 avril 2009 sont touchés. Les mots de passe étaient jusqu'à cette date chiffrés avec l'algorithme de hachage MD5. Depuis, ces comptes ont été désactivés et leurs mots de passe effacés de la base de donnée de production. Les utilisateurs concernés auraient été prévenues par e-mail afin de choisir éventuellement d'autres mots de passe et réactiver ainsi leurs comptes.

Les comptes créés après cette date ne seraient donc pas touchés vu qu'ils sont chiffrés avec un algorithme plus sûr (SHA-512) et en utilisant la technique du grain-de-sel (qui consiste à ajouter un préfixe ou suffixe au mot de passe avant son Hashage pour prévenir les attaques de type dictionnaire ou de force brute).

Bien que la fondation ait été prévenue discrètement de l'existence de cette fuite par un chercheur en sécurité, elle a préféré rendre publique cette affaire par mesure de précaution. Un effort de transparence que l'on ne peut que saluer.

En attendant peut-être qu'une icône soit insérée sur le site de Mozilla, avertissant les utilisateurs que leurs mots de passe pourront être mis publiquement à la disposition de tous.

Une boutade (injuste) bien sûr, pour rappeler la (louable) initiative de Aza Raskin qui propose au W3C des icône de signalétique à afficher sur les sites webs pour que ceux-ci clarifient et communiquent leurs politiques concernant la confidentialité des données récoltés sur les visiteurs.

Source : le blog de sécurité de Mozilla

En collaboration avec Gordon Fowler

Neko · 29/12/2010, 13h10

Je suppose donc qu'ils ont leur grand gagnant

jayfaze · 29/12/2010, 13h32

bah ca arrive hein

Enfin ca m'etone quand meme que mozilla stockait ses mot de passe avec juste md5 sans salage avant 2009

tbarry · 29/12/2010, 13h48

Celui qui l'a découvert n'est pas nécessairement gagnant car ceci n'était pas un bug ni une faille de sécurité, je veux dire ce n'est pas parce qu'il y a un programme qui est mal foutu que tous ça est arrivé; je dirai que c'est un problème d' "administration"

Citation:

Le programme de Mozilla récompensant les découvertes de failles de sécurité étendu aux applications web, 3000$ offerts pour un bug "extraordinaire"

la faille n'est pas dans le programme mais dans la tête de celui qui les gèrent

Celira · 29/12/2010, 16h25

Autrement dit, ce que nous avons là, c'est le bug bien connu de l'interface chaise-clavier

programaniac · 31/12/2010, 18h04

J'ai l'impression que ça cache quelque chose tout ça lol

thithi83 · 07/01/2011, 19h17

Citation:

Enfin ca m'etone quand meme que mozilla stockait ses mot de passe avec juste md5 sans salage avant 2009

Tu serais surpris de la quantité d'applications que je croise régulièrement, et qui préfèrent outrageusement stocker les mots de passe en clair, et les faire transiter en clair sur le réseau........ Totalement irresponsable, mais coûte moins cher que de commencer à réfléchir sur l'implémentation d'une solution sécurisée... Il y a des jours où certaines entreprises se foutent royalement de l'importance des données clients.

Citation:

Envoyé par Celira

Autrement dit, ce que nous avons là, c'est le bug bien connu de l'interface chaise-clavier

Y avait-il au moins un cerveau (perceptions - pensées - actions) entre les deux ???
Question cruciale, car il n'est pas rare de trouver des coquilles vides !

Publier des mots de passe..............................................
Gros problème d'administration... Changer d'administrateur ?
Ce n'est pas évident dans les projets bénévoles...

S'attaquer à la cause:
Arrêter de gérer des fichiers de mots de passe permet d'éviter de tels problèmes. Engueuler publiquement l'idiot qui a fait la bourde n'est pas forcément une solution pérenne... Lui expliquer les conséquences de ses actes serait une démarche plus professionnelle.

Cdlt

Jean-Philippe Dubé · 08/01/2011, 07h03

Pour ma pars, je félicite Mozilla qui a su agir de manière juste et transparente. Il est impossible d'être à l'abrie de l'erreur humaine, mais les entreprises ont trop souvent tendence à étouffer ce genre d'affaires pour sauver leur "image".

minnesota · 08/01/2011, 08h15

Vu les messages, on peut dire que tout le monde Mozilla.

thithi83 · 08/01/2011, 08h31

Citation:

Envoyé par minnesota

Vu les messages, on peut dire que tout le monde Mozilla.

On ne critique que ce qu'on aime, sans doute pour les aimer plus fort

mptijr · 13/01/2011, 11h31

je préfère la franchise de mozilla par rapport ....................... suivez mon regard.

vraiment

comme navigateur.

29/12/2010, 12h38	#1
Idelways Coordinateur publications Développeur Ruby on Rails / iOS et journaliste Inscription : juin 2010 Messages : 1 101 Détails du profil Informations professionnelles : Activité : Développeur Ruby on Rails / iOS et journaliste Informations forums : Inscription : juin 2010 Messages : 1 101 Points : 24 230 Points : 24 230	La fondation Mozilla divulgue accidentellement les mots de passe de 44 000 comptes La fondation Mozilla divulgue accidentellement les mots de passe de 44 000 comptes Liés à son catalogue d'extensions La fondation Mozilla a malencontreusement exposé les mots de passe d'environ 44 000 comptes utilisateurs de son catalogue d'extensions en laissant une sauvegarde d'une base de donnée dans un espace web publique. La fondation assure avoir pris depuis les précautions nécessaires pour que cet accident ne puisse pas avoir d'effet néfaste. Seuls des comptes créés avant le 9 avril 2009 sont touchés. Les mots de passe étaient jusqu'à cette date chiffrés avec l'algorithme de hachage MD5. Depuis, ces comptes ont été désactivés et leurs mots de passe effacés de la base de donnée de production. Les utilisateurs concernés auraient été prévenues par e-mail afin de choisir éventuellement d'autres mots de passe et réactiver ainsi leurs comptes. Les comptes créés après cette date ne seraient donc pas touchés vu qu'ils sont chiffrés avec un algorithme plus sûr (SHA-512) et en utilisant la technique du grain-de-sel (qui consiste à ajouter un préfixe ou suffixe au mot de passe avant son Hashage pour prévenir les attaques de type dictionnaire ou de force brute). Bien que la fondation ait été prévenue discrètement de l'existence de cette fuite par un chercheur en sécurité, elle a préféré rendre publique cette affaire par mesure de précaution. Un effort de transparence que l'on ne peut que saluer. En attendant peut-être qu'une icône soit insérée sur le site de Mozilla, avertissant les utilisateurs que leurs mots de passe pourront être mis publiquement à la disposition de tous. Une boutade (injuste) bien sûr, pour rappeler la (louable) initiative de Aza Raskin qui propose au W3C des icône de signalétique à afficher sur les sites webs pour que ceux-ci clarifient et communiquent leurs politiques concernant la confidentialité des données récoltés sur les visiteurs. Source : le blog de sécurité de Mozilla En collaboration avec Gordon Fowler
	50

29/12/2010, 16h25	#5
Celira Modératrice Développeuse PHP/Java Inscription : avril 2007 Messages : 3 656 Détails du profil Informations personnelles : Sexe : Âge : 27 Localisation : France Informations professionnelles : Activité : Développeuse PHP/Java Informations forums : Inscription : avril 2007 Messages : 3 656 Points : 5 359 Points : 5 359	Autrement dit, ce que nous avons là, c'est le bug bien connu de l'interface chaise-clavier __________________ Modératrice PHP Aucun navigateur ne propose d'extension boule-de-cristal : postez votre code et vos messages d'erreurs. (Rappel : "ça ne marche pas" n'est pas un message d'erreur) Pour afficher votre code en couleurs : [CODE=php][/CODE] (bouton # de l'éditeur)
	20

08/01/2011, 07h03	#8
Jean-Philippe Dubé Rédacteur/Modérateur Jean-Philippe Dubé Consultant informatique Inscription : mai 2006 Messages : 1 267 Détails du profil Informations personnelles : Nom : Jean-Philippe Dubé Localisation : Canada Informations professionnelles : Activité : Consultant informatique Secteur : Service public Informations forums : Inscription : mai 2006 Messages : 1 267 Points : 2 144 Points : 2 144	Pour ma pars, je félicite Mozilla qui a su agir de manière juste et transparente. Il est impossible d'être à l'abrie de l'erreur humaine, mais les entreprises ont trop souvent tendence à étouffer ce genre d'affaires pour sauver leur "image". __________________ Règles du forum *Pas de questions techniques en MP* Rédacteur et modérateur sécurité recherché!!!
	10

08/01/2011, 08h15	#9
minnesota Membre Expert Inscription : avril 2010 Messages : 956 Détails du profil Informations forums : Inscription : avril 2010 Messages : 956 Points : 1 174 Points : 1 174	Vu les messages, on peut dire que tout le monde Mozilla. __________________ . Assurément, je suis un consommateur militant, ma voix c'est mon porte-monnaie ... C'est se faire entendre par les marques et enseignes peu scrupuleuses en n'achetant pas leurs produits. P.-S. Dans le forum technique, vous êtes invité à noter ce message ■■■■■■■■■■■■■■■■▼ Et attention à ne pas tomber dans les abimes! Hein...
	00

13/01/2011, 11h31	#11
mptijr Membre éprouvé Étudiant Inscription : juin 2007 Messages : 403 Détails du profil Informations personnelles : Localisation : Côte d'Ivoire Informations professionnelles : Activité : Étudiant Informations forums : Inscription : juin 2007 Messages : 403 Points : 455 Points : 455	je préfère la franchise de mozilla par rapport ....................... suivez mon regard. vraiment comme navigateur. __________________ Aucune question n'est bête quand on veut apprendre.
	00

29/12/2010, 13h10	#2
Neko Membre Expert Développeur informatique Inscription : juillet 2005 Messages : 512 Détails du profil Informations personnelles : Sexe : Âge : 28 Localisation : France Informations professionnelles : Activité : Développeur informatique Secteur : High Tech - Multimédia et Internet Informations forums : Inscription : juillet 2005 Messages : 512 Points : 1 869 Points : 1 869	Je suppose donc qu'ils ont leur grand gagnant
	10

29/12/2010, 13h32	#3
jayfaze Membre actif Inscription : novembre 2006 Messages : 138 Détails du profil Informations forums : Inscription : novembre 2006 Messages : 138 Points : 195 Points : 195	bah ca arrive hein Enfin ca m'etone quand meme que mozilla stockait ses mot de passe avec juste md5 sans salage avant 2009
	00

31/12/2010, 18h04	#6
programaniac Membre du Club Inscription : octobre 2005 Messages : 249 Détails du profil Informations forums : Inscription : octobre 2005 Messages : 249 Points : 54 Points : 54	J'ai l'impression que ça cache quelque chose tout ça lol
	01

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email