IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Expert éminent sénior
    Avatar de Idelways
    Homme Profil pro
    Développeur Ruby on Rails / iOS
    Inscrit en
    juin 2010
    Messages
    1 374
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations professionnelles :
    Activité : Développeur Ruby on Rails / iOS

    Informations forums :
    Inscription : juin 2010
    Messages : 1 374
    Points : 68 494
    Points
    68 494
    Par défaut La fondation Mozilla divulgue accidentellement les mots de passe de 44 000 comptes
    La fondation Mozilla divulgue accidentellement les mots de passe de 44 000 comptes
    Liés à son catalogue d'extensions



    La fondation Mozilla a malencontreusement exposé les mots de passe d'environ 44 000 comptes utilisateurs de son catalogue d'extensions en laissant une sauvegarde d'une base de donnée dans un espace web publique.

    La fondation assure avoir pris depuis les précautions nécessaires pour que cet accident ne puisse pas avoir d'effet néfaste.

    Seuls des comptes créés avant le 9 avril 2009 sont touchés. Les mots de passe étaient jusqu'à cette date chiffrés avec l'algorithme de hachage MD5. Depuis, ces comptes ont été désactivés et leurs mots de passe effacés de la base de donnée de production. Les utilisateurs concernés auraient été prévenues par e-mail afin de choisir éventuellement d'autres mots de passe et réactiver ainsi leurs comptes.

    Les comptes créés après cette date ne seraient donc pas touchés vu qu'ils sont chiffrés avec un algorithme plus sûr (SHA-512) et en utilisant la technique du grain-de-sel (qui consiste à ajouter un préfixe ou suffixe au mot de passe avant son Hashage pour prévenir les attaques de type dictionnaire ou de force brute).

    Bien que la fondation ait été prévenue discrètement de l'existence de cette fuite par un chercheur en sécurité, elle a préféré rendre publique cette affaire par mesure de précaution. Un effort de transparence que l'on ne peut que saluer.

    En attendant peut-être qu'une icône soit insérée sur le site de Mozilla, avertissant les utilisateurs que leurs mots de passe pourront être mis publiquement à la disposition de tous.

    Une boutade (injuste) bien sûr, pour rappeler la (louable) initiative de Aza Raskin qui propose au W3C des icône de signalétique à afficher sur les sites webs pour que ceux-ci clarifient et communiquent leurs politiques concernant la confidentialité des données récoltés sur les visiteurs.



    Source : le blog de sécurité de Mozilla


    En collaboration avec Gordon Fowler

  2. #2
    Membre chevronné
    Homme Profil pro
    Développeur informatique
    Inscrit en
    juillet 2005
    Messages
    541
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 37
    Localisation : France

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : juillet 2005
    Messages : 541
    Points : 1 868
    Points
    1 868
    Par défaut
    Je suppose donc qu'ils ont leur grand gagnant
    If it's free, you are not the customer, you are the product.

  3. #3
    Membre actif
    Profil pro
    Inscrit en
    novembre 2006
    Messages
    137
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : novembre 2006
    Messages : 137
    Points : 244
    Points
    244
    Par défaut
    bah ca arrive hein

    Enfin ca m'etone quand meme que mozilla stockait ses mot de passe avec juste md5 sans salage avant 2009

  4. #4
    Membre du Club
    Homme Profil pro
    Chercheur en Sécurité
    Inscrit en
    octobre 2008
    Messages
    32
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Chercheur en Sécurité

    Informations forums :
    Inscription : octobre 2008
    Messages : 32
    Points : 56
    Points
    56
    Par défaut Pas vraiment un gagnant
    Celui qui l'a découvert n'est pas nécessairement gagnant car ceci n'était pas un bug ni une faille de sécurité, je veux dire ce n'est pas parce qu'il y a un programme qui est mal foutu que tous ça est arrivé; je dirai que c'est un problème d' "administration"
    Le programme de Mozilla récompensant les découvertes de failles de sécurité étendu aux applications web, 3000$ offerts pour un bug "extraordinaire"
    la faille n'est pas dans le programme mais dans la tête de celui qui les gèrent

  5. #5
    Modératrice
    Avatar de Celira
    Femme Profil pro
    Développeuse PHP/Java
    Inscrit en
    avril 2007
    Messages
    8 627
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Âge : 36
    Localisation : France

    Informations professionnelles :
    Activité : Développeuse PHP/Java
    Secteur : Industrie

    Informations forums :
    Inscription : avril 2007
    Messages : 8 627
    Points : 16 359
    Points
    16 359
    Par défaut
    Autrement dit, ce que nous avons là, c'est le bug bien connu de l'interface chaise-clavier
    Modératrice PHP
    Aucun navigateur ne propose d'extension boule-de-cristal : postez votre code et vos messages d'erreurs. (Rappel : "ça ne marche pas" n'est pas un message d'erreur)
    Cherchez un peu avant poser votre question : Cours et Tutoriels PHP - FAQ PHP - PDO une soupe et au lit !.

    Affichez votre code en couleurs : [CODE=php][/CODE] (bouton # de l'éditeur) et [C=php][/C]

  6. #6
    Membre régulier
    Profil pro
    Inscrit en
    octobre 2005
    Messages
    256
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : octobre 2005
    Messages : 256
    Points : 105
    Points
    105
    Par défaut
    J'ai l'impression que ça cache quelque chose tout ça lol

  7. #7
    Membre régulier
    Profil pro
    Inscrit en
    août 2007
    Messages
    56
    Détails du profil
    Informations personnelles :
    Âge : 38
    Localisation : France

    Informations forums :
    Inscription : août 2007
    Messages : 56
    Points : 122
    Points
    122
    Par défaut
    Enfin ca m'etone quand meme que mozilla stockait ses mot de passe avec juste md5 sans salage avant 2009
    Tu serais surpris de la quantité d'applications que je croise régulièrement, et qui préfèrent outrageusement stocker les mots de passe en clair, et les faire transiter en clair sur le réseau........ Totalement irresponsable, mais coûte moins cher que de commencer à réfléchir sur l'implémentation d'une solution sécurisée... Il y a des jours où certaines entreprises se foutent royalement de l'importance des données clients.

    Citation Envoyé par Celira
    Autrement dit, ce que nous avons là, c'est le bug bien connu de l'interface chaise-clavier
    Y avait-il au moins un cerveau (perceptions - pensées - actions) entre les deux ???
    Question cruciale, car il n'est pas rare de trouver des coquilles vides !

    Publier des mots de passe..............................................
    Gros problème d'administration... Changer d'administrateur ?
    Ce n'est pas évident dans les projets bénévoles...

    S'attaquer à la cause:
    Arrêter de gérer des fichiers de mots de passe permet d'éviter de tels problèmes. Engueuler publiquement l'idiot qui a fait la bourde n'est pas forcément une solution pérenne... Lui expliquer les conséquences de ses actes serait une démarche plus professionnelle.

    Cdlt

  8. #8
    Membre émérite
    Avatar de Jean-Philippe Dubé
    Homme Profil pro
    Analyse système
    Inscrit en
    mai 2006
    Messages
    1 266
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Analyse système
    Secteur : Service public

    Informations forums :
    Inscription : mai 2006
    Messages : 1 266
    Points : 2 638
    Points
    2 638
    Par défaut
    Pour ma pars, je félicite Mozilla qui a su agir de manière juste et transparente. Il est impossible d'être à l'abrie de l'erreur humaine, mais les entreprises ont trop souvent tendence à étouffer ce genre d'affaires pour sauver leur "image".

  9. #9
    Membre émérite
    Inscrit en
    avril 2010
    Messages
    1 495
    Détails du profil
    Informations forums :
    Inscription : avril 2010
    Messages : 1 495
    Points : 2 266
    Points
    2 266
    Par défaut
    Vu les messages, on peut dire que tout le monde Mozilla.

  10. #10
    Membre régulier
    Profil pro
    Inscrit en
    août 2007
    Messages
    56
    Détails du profil
    Informations personnelles :
    Âge : 38
    Localisation : France

    Informations forums :
    Inscription : août 2007
    Messages : 56
    Points : 122
    Points
    122
    Par défaut
    Citation Envoyé par minnesota Voir le message
    Vu les messages, on peut dire que tout le monde Mozilla.
    On ne critique que ce qu'on aime, sans doute pour les aimer plus fort

  11. #11
    Membre confirmé Avatar de mptijr
    Profil pro
    Étudiant
    Inscrit en
    juin 2007
    Messages
    405
    Détails du profil
    Informations personnelles :
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : juin 2007
    Messages : 405
    Points : 501
    Points
    501
    Par défaut
    je préfère la franchise de mozilla par rapport ....................... suivez mon regard.

    vraiment comme navigateur.


    Aucune question n'est bête quand on veut apprendre.

Discussions similaires

  1. Où Internet Explorer stock les mots de passes ?
    Par Cybher dans le forum Sécurité
    Réponses: 6
    Dernier message: 12/05/2006, 19h21
  2. Gérer les mots de passe
    Par Michel38 dans le forum Autres Logiciels
    Réponses: 4
    Dernier message: 30/03/2006, 10h49
  3. comment crypter les mots de passe?
    Par JauB dans le forum MS SQL Server
    Réponses: 3
    Dernier message: 23/11/2005, 16h37
  4. cacher les mots de passes...
    Par youp_db dans le forum C
    Réponses: 7
    Dernier message: 21/10/2005, 00h06
  5. Le dossier qui stock les mots de passe
    Par cartonis dans le forum Sécurité
    Réponses: 21
    Dernier message: 17/08/2005, 12h49

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo