Le petit renard avait laissé sa tanière sans surveillance. Mais, heureusement, personne n'est entré. © Mozilla

Tech

44.000 – vieux – comptes utilisateurs de Firefox sur la place publique

ActualitéClassé sous :Internet , Firefox , mozilla

Par Jean-Luc Goudet, Futura

Mozilla vient d'avouer avoir malencontreusement laissé 44.000 comptes d'utilisateurs du service d'add-on ouverts à tous les vents, y compris avec les mots de passe des utilisateurs. Pas grave, explique Mozilla : il s'agit de comptes inactifs et, de plus, personne n'est allé regarder.

Quarante-quatre mille personnes ont reçu un curieux courrier électronique le 27 décembre dernier. La Fondation Mozilla (créateur de Firefox) leur expliquait que leur compte ouvert sur le service d'extensions addons.mozilla.org avait un long moment été exposé dans une base de données accessibles à tous sur un serveur public de Mozilla. Quiconque ayant eu l'idée de la consulter a donc pu récolter noms et mots de passe. Ces 44.000 personnes ont un point commun : elles se sont enregistrées un jour sur ce service d'add-on et ne l'ont pas utilisé depuis longtemps.

L'affaire est expliquée sur le blog de Mozilla, qui en minimise les conséquences. Les comptes ainsi exposés étaient inactifs et anciens et leurs mots de passe ont immédiatement été modifiés avant d'être communiqués aux utilisateurs. De plus, ces mots de passe étaient cryptés. Mais ils l'étaient avec un système ancien (MD5, un principe dit de hachage), qui n'est plus guère utilisé (Mozilla l'a depuis remplacé par SHA-512).

Un seul visiteur, et il était honnête

Et même si Mozilla a changé les 44.000 mots de passe dans la base de données, bien des utilisateurs se servent du même mot de passe pour plusieurs comptes, donc si un pirate l'a récupéré ici, il pourra s'en servir sur d'autres comptes ouverts ailleurs par la même personne...

Mais Mozilla affirme que tous les téléchargements effectués sur cette base laissée ouverte ont pu être comptabilisés et il n'y en avait... qu'un. Ce voyeur n'est pas un pirate. C'est un informaticien spécialiste de sécurité qui, justement, participait à un programme lancé par Mozilla pour récompenser les études sur la sécurité concernant ses propres sites, dont addons.mozilla.org. C'est lui qui a découvert cette porte béante et qui a immédiatement prévenu Mozilla. L'histoire ne dit pas quelle récompense il a reçue...

  Les commentaires ne sont pas disponibles pour le moment.