Le vol de bugs dans Firefox via Bugzilla, plateforme de suivi de bugs de la fondation Mozilla, pourrait compromettre les données saisies ou stockées dans le navigateur Firefox d’un utilisateur.
Bugzilla, un service Web public permettant à des développeurs de collaborer sur le développement du navigateur Firefox, a été piraté. Des données sensibles ont été dérobées, qui peuvent avoir un impact sur la sécurité des utilisateurs de Firefox. Comment cela a-t-il été possible ? « Une authentification simple par login password est utilisée pour authentifier le développeur ; et donc lui donner les droits adéquats. Hélas, si le développeur se fait voler ses identifiants, attaque par dictionnaire, malware, keylogger, social engineering, etc., le hacker dispose alors d’un accès à Bugzilla. C’est ce qui vient d’arriver », explique Matthieu Dierick, ingénieur avant-ventes F5 Networks. En l’occurrence, le mot de passe d’un utilisateur a été volé sur un autre site où il utilisait le même !
Pourquoi les utilisateurs de Firefox pourraient-ils être inquiétés par ce piratage ? « Le vol a ciblé des bugs connus dans Firefox. Cela signifie que des hackers peuvent utiliser ces bugs de sécurité pour compromettre les données saisies ou stockées dans le navigateur Firefox d’un utilisateur. On peut donc imaginer un hacker développer un malware utilisant ces failles », ajoute Matthieu Dierick.
En attendant que Mozilla mette à jour ces failles de sécurité, ce qu’il a commencé à faire, Matthieu Dierick préconise la mise en place de solutions de contrôle du poste de travail au niveau du navigateur, utilisant une double authentification : « Le maillon faible étant l’utilisation de mots de passes dits statiques, il est primordial de mettre en place des solutions d’authentification à base de mots de passes dynamiques ou à usages uniques (OTP). Ces solutions d’authentification forte requièrent un support que l’utilisateur va avoir en sa possession qui va servir à générer l’OTP (token, carte à puce, smartphone) et une information qu’il connait (un code PIN, un mot de passe, des réponses à des questions de sécurité). »