Lundi, Mozilla, le développeur populaire d’applications Open Source comme Firefox et Thunderbird, a annoncé qu’une base de données contenant des noms d’utilisateur et mots de passe hachés appartenant aux utilisateurs du site addons.mozilla.org avait été publié publiquement par accident.
Si vous êtes inscrit et donc que vous possédez un compte sur addons.mozilla.org, vous êtes l’un des 44.000 utilisateurs qui pourraient avoir été touchés par cette divulgation accidentelle, vous devriez déjà avoir reçu un avis par courriel de l’équipe de sécurité de Mozilla.
Est-ce tout simplement une autre histoire de fuite de données dans une mer de noms d’utilisateurs et mots de passe perdus ? Pas exactement. Les mots de passe stockés par Mozilla avant le 9 avril 2009 utilisent le hachage MD5. Or, MD5 a des faiblesses cryptographiques qui permettent la création de la même empreinte à partir de chaînes multiples. Ceci permet à des experts en sécurité de calculer tous les hashs possibles et de déterminer votre mot de passe (attaque par collision). Mozilla ne stocke pas les mots de passe en texte clair.
Les bonnes nouvelles ? Mozilla a vérifié son journal de bord et a déterminé que la seule personne en dehors de Mozilla qui ont consulté le contenu a été la personne qui a divulgué la publication accidentellement à travers leur programme web. Mozilla a supprimé les mots de passe de tous les 44.000 comptes à partir du site gérant les addons indépendamment du fait qu’ils ont été exposés ou non.
Les nouveaux mots de passe créés ne seront pas vulnérables à un accident similaire. Depuis le 9 avril 2009, Mozilla a utilisé SHA-512 avec des salts pour stocker les mots de passe des utilisateurs. Cet algorithme de hachage permet une amélioration significative en matière de sécurité pour les titulaires de compte addons.mozilla.org.
Si vous étiez l’un des destinataires malheureux de l’un de ces e-mails, assurez-vous que vous n’utilisez pas le même mot de passe que Mozilla sur d’autres sites. Alors que Mozilla est persuadé que personne d’autre que la personne qui a signalé l’incident a eu accès au dossier, si les informatins sont mauvaises ou que le divulgateur n’est pas digne de confiance, vos autres comptes peuvent être à risque. Rappelez-vous, les mots de passe uniques sont une exigence et non un luxe.
Félicitons Mozilla pour leur réponse rapide à cet incident, même si elle laisse quelques questions que nous devons prendre en considération. Comment ont-ils pu publier des fichiers contenant les noms d’utilisateur et mots de passe hachés accidentellement ? Cette question a été posée à l’équipe de sécurité et celle-ci a renvoyé à un une réponse.
Si vous êtes un administrateur du site web / développeur, vous stockez toujours les mots de passe en utilisant des méthodes comme Gawker (DES) ou Mozilla (MD5) ? Nous savons qu’ils sont dépassés et il est important de migrer loin de ces algorithmes dans le cas où vous avez une base de données accidentellement publiée en dehors de votre organisation.
Mozilla pris la bonne décision en 2009 de commencer à utiliser un système beaucoup plus sécurisé (SHA-512 avec des salts par utilisateur) aller de l’avant, mais seul le recul pourrait avoir invité l’ensemble de leurs utilisateurs à migrer vers la table de hachage plus sûr avant cet incident.