Bugzilla, la plate-forme de suivi de bugs de la fondation Mozilla a été piratée. Des données sensibles, ayant un impact sur la sécurité des utilisateurs du navigateur Firefox  notamment, ont été dérobées.

La fondation Mozilla a publié une FAQ à propos de ce piratage. Un piratage fort peu glorieux techniquement du côté des hackers. Tout simplement un vol de mot de passe.

Le mot de passe n'a pas été volé sur Bugzilla, mais sur un autre site à la sécurité faible. Malheureusement un utilisateur de Bugzilla utilisait le même mot de passe sur les deux sites.

Malheureusement encore, l'utilisateur de Bugzilla dont le mot de passe a été volé était un utilisateur privilégié ayant accès à des informations sensibles. Un incident regrettable qui montre une nouvelle fois le bien fondé des bonnes pratiques de sécurité, à savoir utiliser un mot de passe différent pour chaque site, ou au moins, ne pas utiliser le même mot de passe sur des sites dont les vocations sont différentes et lorsque les droits qu'on y a sont différents également.

Mozilla a immédiatement pris des mesures lorsque le problème a été découvert, mais la FAQ nous apprend que Bugzilla est compromis au moins depuis septembre 2014, peut-être depuis septembre 2013.

Parmi les données sensibles dérobées, figures au moins 53 vulnérabilités classées sévères dans Firefox. Des informations que des pirates ont naturellement pu exploiter pour attaquer les utilisateurs de Firefox.

C'est au moins le cas pour une de ces vulnérabilités, qui a été comblée le 6 août dernier. Un site russe a ainsi utilisé cette faille pour attaquer ses visiteurs.

Dans sa FAQ, Mozilla souligne que les nouveaux Firefox Destop, Android et ESR publiés le 27 août corrigent toutes les vulnérabilités concernées par ce piratage. Les utilisateurs doivent donc faire leurs mises à jour immédiatement, si ce n'est pas déjà fait via le processus automatique.