Mozilla vient d’avouer avoir malencontreusement laissé 44.000 comptes d’utilisateurs du service d’add-on ouverts à tous les vents, y compris avec les mots de passe des utilisateurs. Pas grave, explique Mozilla : il s’agit de comptes inactifs et, de plus, personne n’est allé regarder.

au sommaire


    Quarante-quatre mille personnes ont reçu un curieux courrier électronique le 27 décembre dernier. La Fondation Mozilla (créateur de Firefox) leur expliquait que leur compte ouvert sur le service d'extensions addons.mozilla.org avait un long moment été exposé dans une base de données accessibles à tous sur un serveur public de Mozilla. Quiconque ayant eu l'idée de la consulter a donc pu récolter noms et mots de passemots de passe. Ces 44.000 personnes ont un point commun : elles se sont enregistrées un jour sur ce service d'add-on et ne l'ont pas utilisé depuis longtemps.

    L'affaire est expliquée sur le blog de Mozilla, qui en minimise les conséquences. Les comptes ainsi exposés étaient inactifs et anciens et leurs mots de passe ont immédiatement été modifiés avant d'être communiqués aux utilisateurs. De plus, ces mots de passe étaient cryptés. Mais ils l'étaient avec un système ancien (MD5MD5, un principe dit de hachage), qui n'est plus guère utilisé (Mozilla l'a depuis remplacé par SHA-512).

    Un seul visiteur, et il était honnête

    Et même si Mozilla a changé les 44.000 mots de passe dans la base de données, bien des utilisateurs se servent du même mot de passe pour plusieurs comptes, donc si un pirate l'a récupéré ici, il pourra s'en servir sur d'autres comptes ouverts ailleurs par la même personne...

    Mais Mozilla affirme que tous les téléchargements effectués sur cette base laissée ouverte ont pu être comptabilisés et il n'y en avait... qu'un. Ce voyeur n'est pas un pirate. C'est un informaticien spécialiste de sécurité qui, justement, participait à un programme lancé par Mozilla pour récompenser les études sur la sécurité concernant ses propres sites, dont addons.mozilla.org. C'est lui qui a découvert cette porteporte béante et qui a immédiatement prévenu Mozilla. L'histoire ne dit pas quelle récompense il a reçue...