IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    6 090
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 6 090
    Points : 148 552
    Points
    148 552
    Par défaut Mozilla reconnait que Bugzilla a été victime d'un piratage
    Mozilla reconnait que Bugzilla a été victime d'un piratage
    et que des données sensibles relatives à la sécurité ont été subtilisées

    Mozilla a donné des détails sur l’attaque menée contre Bugzilla, son outil de tests et de suivi des bugs, qui a permis aux pirates de dérober des données sensibles. « Nous pensons qu’ils ont utilisé ces données pour attaquer les utilisateurs Firefox », a avancé Richard Barnes de Mozilla, qui a assuré par la suite que la Fondation a « mené une enquête sur cet accès non autorisé et nous avons mené différentes actions pour contrer cette menace immédiate. Nous implémentons également des améliorations dans Bugzilla pour améliorer la sécurité de nos produits, notre communauté de développeurs, mais aussi nos utilisateurs ».

    Si Bugzilla est un logiciel open source qui a été adopté par de nombreuses organisations, l’accès aux informations sensibles de sécurité est réservé afin que seules certaines personnes bénéficiant des privilèges adéquats puissent y accéder. Après l’attaque, « le compte qui a été piraté a été fermé peu de temps après que Mozilla ait découvert qu’il a été compromis ». Mozilla pense que les pirates ont utilisé des informations de Bugzilla pour exploiter une faille dans la sécurité de son navigateur Firefox qui a été colmatée le 06 août dernier, un jour après qu’elle ait été portée à la connaissance de la Fondation.

    Mozilla a expliqué que la dernière version de Firefox (Firefox 40.0.3, qui a été publiée le 27 août) intègre un correctif de « toutes les vulnérabilités dont le pirate a eu connaissance et pourrait avoir utilisé pour attaquer des utilisateurs Firefox ».

    Mozilla a pris des séries de mesures supplémentaires en dehors de fermer le compte qui a été piraté : « nous mettons à jour les pratiques de sécurité sur Bugzilla afin de réduire le risque de futures attaques de ce type. Tout d’abord, prenant effet immédiatement, tous les utilisateurs qui ont accès à des informations sensibles de sécurité ont été invités à changer leurs mots de passe et à se servir de l’authentification à deux facteurs. Nous réduisons le nombre d’utilisateurs avec des accès privilégiés et limitons également ce que chaque utilisateur privilégié peut faire. En d’autres termes, nous compliquons la tâche à un attaquant, limitant les possibilités d’effractions et réduisant la quantité d’informations qu’un attaquant pourrait obtenir s’il réussissait tout de même ».

    Dans une FAQ, Mozilla révèle que le compte compromis avait accès à 185 bugs ; 110 étaient en mode protégé pour des raisons autres que la sécurité logiciel (par exemple des informations propriétaires), 22 étaient des failles avec un impact considéré comme mineur et 53 étaient classés parmi les vulnérabilités sévères. Seules 43 vulnérabilités sur les 53 sévères ont été colmatées dans la version de Firefox qui a été publiée au moment où le pirate en a pris connaissance, « les informations sur ces bugs n’auraient probablement pas pu être utilisées pour lancer une attaque contre les utilisateurs Firefox ». Cependant, Mozilla reconnait qu’il est techniquement possible que les 10 bugs restants aient pu être utilisés pour lancer une attaque contre les utilisateurs Firefox.

    La faille qui aurait pu causer le plus de dégâts aux utilisateurs Firefox a été colmatée le 06 août dernier. « Nous savons qu’une attaque exploitant cette vulnérabilité a été utilisée pour recueillir des données personnelles d’utilisateurs de Firefox qui se sont rendus sur un site d’informations basé en Russie », a expliqué Mozilla.

    Source : blog Mozilla, FAQ Mozilla (au format PDF)

    forum Firefox
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    En attente de confirmation mail
    Femme Profil pro
    pape n'aimant pas les censeurs
    Inscrit en
    janvier 2010
    Messages
    803
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : Vatican

    Informations professionnelles :
    Activité : pape n'aimant pas les censeurs

    Informations forums :
    Inscription : janvier 2010
    Messages : 803
    Points : 1 384
    Points
    1 384
    Par défaut
    Vive le CLOUD!!!

    Il n'y a plus une semaine où une société "technologique" ne doit pas avouer s'être fait voler ses données et celles de ces clients (un jour on apprend que 4 hackers se sont fait arrêtés après avoir eu accès aux 7 millions de comptes d'entreprises et de privés d'une banque américaine, un autre jour, c'est un site US proposant du "cul hors mariage" qui se voit voler la liste de ces 32 mio de clients (avec pour conséquence, quelques suicides de maris pris la main dans le sac... ou plutôt dans le slip d'une autre) ...

    Et pourtant, il y a toujours des mecs sur ce forum pour glorifier le cloud, le "pompage" de données privées par Win10 et autres joyeusetés


    Le monde est vraiment extraordinaire!

  3. #3
    Membre éclairé
    Homme Profil pro
    Consultant en technologies
    Inscrit en
    juin 2013
    Messages
    245
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Consultant en technologies
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : juin 2013
    Messages : 245
    Points : 846
    Points
    846
    Par défaut
    @NSKis : il faudrait se calmer un petit peu, cette histoire n'a rien à voir avec le cloud puisqu'il s'agit à priori d'un compte avec des privilèges qui a été compromis. Le truc que je déplore dans cette histoire, c'est que ce sont les utilisateurs qui vont encore en baver je vois passer sur le deep web des scripts de piratages par des failles 0 day à des prix exorbitants ...

  4. #4
    Membre expérimenté Avatar de Jarodd
    Profil pro
    Inscrit en
    août 2005
    Messages
    845
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : août 2005
    Messages : 845
    Points : 1 679
    Points
    1 679
    Par défaut
    Citation Envoyé par NSKis Voir le message
    Vive le CLOUD!!!
    Vive ceux qui répondent sans lire l'actu avant !!!

    Mozilla a vite réagi en bloquant le compte compromis, cela a peut-être évité plus de dégâts. Et heureusement, Firefox a ausi rapidement été mis à jour pour colmeter les failles listés dans les bugs visités. Le risque zéro n'existe pas (et c'est encore une fois un PEBKAC qui en est la cause, peut-être un mot de passe trop peu sécurisé ?), et cela fait quand même plaisir de fois que quand il y a un trou dans la raquette, l'incident est vite contenu et les décisions rapidement prises pour éviter sa propagation. D'autres éditeurs ne peuvent pas se targuer de ses qualités...

  5. #5
    Rédacteur/Modérateur


    Homme Profil pro
    Développeur .NET
    Inscrit en
    février 2004
    Messages
    19 875
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Développeur .NET
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : février 2004
    Messages : 19 875
    Points : 39 725
    Points
    39 725
    Par défaut
    Ce serait peut-être l'occasion de remplacer Bugzilla par un truc un peu plus moderne... quand je veux signaler un bug sur Firefox, j'ai l'impression d'être revenu en 1995

  6. #6
    En attente de confirmation mail
    Profil pro
    Inscrit en
    décembre 2010
    Messages
    555
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : décembre 2010
    Messages : 555
    Points : 1 583
    Points
    1 583
    Par défaut
    Citation Envoyé par tomlev Voir le message
    Ce serait peut-être l'occasion de remplacer Bugzilla par un truc un peu plus moderne... quand je veux signaler un bug sur Firefox, j'ai l'impression d'être revenu en 1995
    Bugzilla étant maintenu et développé par Mozilla, je doute qu'ils existe une solution qui conviennent mieux.

  7. #7
    Rédacteur/Modérateur


    Homme Profil pro
    Développeur .NET
    Inscrit en
    février 2004
    Messages
    19 875
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Développeur .NET
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : février 2004
    Messages : 19 875
    Points : 39 725
    Points
    39 725
    Par défaut
    Citation Envoyé par Squisqui Voir le message
    Bugzilla étant maintenu et développé par Mozilla, je doute qu'ils existe une solution qui conviennent mieux.
    Oui je suppose que ça correspond bien à leur besoin, mais n'empêche que c'est très moche, pas clair du tout et pas ergonomique pour un sou

  8. #8
    Membre actif
    Profil pro
    Ingénieur
    Inscrit en
    mars 2007
    Messages
    199
    Détails du profil
    Informations personnelles :
    Localisation : France, Seine Saint Denis (Île de France)

    Informations professionnelles :
    Activité : Ingénieur

    Informations forums :
    Inscription : mars 2007
    Messages : 199
    Points : 291
    Points
    291
    Par défaut
    Pour répondre à NSKis,
    quelques suicides de maris pris la main dans le sac... ou plutôt dans le slip d'une autre
    On peut aussi écrire : [...] ou plutôt dans le slip d'un autre [...]

    Histoire que l'information soit complète et pour ne pas oublier la parité

    Bon je sors.

  9. #9
    Membre averti Avatar de mapmip
    Profil pro
    ulla
    Inscrit en
    juillet 2006
    Messages
    1 243
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : ulla

    Informations forums :
    Inscription : juillet 2006
    Messages : 1 243
    Points : 327
    Points
    327
    Par défaut
    Rien à voir avec FireBug, j'espère ?

  10. #10
    En attente de confirmation mail
    Profil pro
    Inscrit en
    décembre 2010
    Messages
    555
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : décembre 2010
    Messages : 555
    Points : 1 583
    Points
    1 583
    Par défaut
    Citation Envoyé par mapmip Voir le message
    Rien à voir avec FireBug, j'espère ?
    À peu près autant que la choucroute

Discussions similaires

  1. France : le site de l'UMP victime d'un piratage à l'ouverture des votes
    Par Stéphane le calme dans le forum Sécurité
    Réponses: 23
    Dernier message: 05/12/2014, 13h18
  2. Tor annonce avoir été victime d'un piratage
    Par Stéphane le calme dans le forum Sécurité
    Réponses: 7
    Dernier message: 01/08/2014, 22h38
  3. Mon systeme ne reconnait que la moitie de la mémoire
    Par mariusapo dans le forum Composants
    Réponses: 3
    Dernier message: 23/02/2011, 09h20
  4. Lecteur cd ne reconnait que les cd de music
    Par JeanduB dans le forum Composants
    Réponses: 3
    Dernier message: 20/04/2008, 12h28
  5. API Mozilla / gecko..que peut-on faire ?
    Par xilebo dans le forum Bibliothèques
    Réponses: 3
    Dernier message: 16/07/2007, 19h11

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo