Après l’annonce d’une consultation de plus d’un an de la base de données de l’outil de suivi de bugs, ayant permis à un pirate de s’emparer d’informations critiques, la fondation Mozilla prend des mesures.
Vendredi dernier, Mozilla annonçait le piratage de Bugzilla. Le vol d’information sur 53 failles de sécurité critiques remonterait à septembre 2014 peut-être même l’année précédente. Le pirate aurait semble-t-il «forcé l'accès à un compte d'utilisateur privilégié et téléchargé des informations sensibles sur la sécurité à propos de défauts dans Firefox et d'autres produits » a communiqué Mozilla. Selon l’enquête menée par l’éditeur libre, c’est un vol de mot de passe qui serait l’origine première de cette faille.
Face à cette attaque passée inaperçue sur une période de temps aussi longue, la fondation Mozzila décide de protéger au mieux sa plateforme de suivi des bugs. Dans un billet, elle annonce « avoir décidé de réduire le nombre d’utilisateurs avec des accès privilégiés, tout comme les privilèges associés ». La stratégie est évidemment de compliquer la tâche de tout utilisateur malveillant en réduisant non seulement les possibilités d’accès, mais aussi la quantité d’information disponible en cas d’intrusion. Tous les utilisateurs avec accès privilégié doivent modifier leur mot de passe et un nouveau protocole d’identification en deux étapes est mis en place.