Un pirate perce Bugzilla pour s’attaquer à Firefox

Le système de rapport de bugs Bugzilla de la Fondation Mozilla a été attaqué. Le pirate ayant mené cette opération a pu accéder à 185 rapports de bugs de sécurité, avant que ces derniers n’aient été rendus publics. Ces informations ont probablement permis de mener des attaques contre le butineur de Mozilla, Firefox.

Afin d’accéder à Bugzilla, le pirate a subtilisé les identifiants d’un utilisateur. Les premières connexions de ce pirate dateraient de septembre 2014, voire d’un an plus tôt, sembleraient indiquer certaines traces retrouvées sur le serveur. En cause, la non-utilisation d’une authentification à deux facteurs, qui a affaibli le niveau de sécurité de ce service en ligne.

La bonne nouvelle est que la découverte de ce piratage a mené à une opération express de correction des failles de sécurité de Firefox, dont certaines dataient de près d’un an, rapportent les utilisateurs de Bugzilla.

Plus de danger avec Firefox 40.0.3

Les dernières vulnérabilités repérées par le pirate ont été corrigées dans la version 40.0.3 du logiciel, diffusée le 27 août, explique Mozilla.

Dans le même temps, les pratiques de sécurité de ce service en ligne ont été modifiées afin de réduire le risque de se faire à nouveau attaquer. Les utilisateurs ayant accès à des informations sensibles ont été priés de changer leur mot de passe et d’utiliser un mode d’authentification à deux facteurs. Enfin, une FAQ concernant cette attaque a été mise en ligne à cette adresse.