in

Exploitation des failles de Bugzilla : quelles solutions ? Par Matthieu Dierick, Ingénieur avant-ventes F5 Networks

 

Bugzilla est un service web public (sur Internet), permettant à des développeurs de collaborer sur le développement de Firefox. Pour cela, une authentification simple par login password est utilisée pour authentifier le développeur ; et donc lui donner les droits adéquat. Hélas, si le développeur se fait voler ses identifiants (attaque par dictionnaire, malware, keylogger, social engineering …), le hacker dispose alors d’un accès à Bugzilla. C’est ce qui vient d’arriver.

La double authentification efficace et pourtant toujours négligée

Le maillon faible étant l’utilisation de mots de passes dits statiques, il est primordial de mettre en place des solutions d’authentification à base de mots de passes dynamiques ou à usages uniques (OTP). Ces solutions d’authentification forte requièrent un support que l’utilisateur va avoir en sa possession qui va servir à générer l’OTP (token, carte à puce, smartphone) et une information qu’il connait (un code PIN, un mot de passe, des réponses à des questions de sécurité). C’est ce qu’on appelle une solution d’authentification à double facteur : je m’authentifie avec quelque chose que je possède et quelque chose que je connais.

Cela afin de s’assurer que la personne connectée au portail est bien la personne autorisée mais surtout que son authentification ne soit plus vulnérable aux attaques par rejeu (en replay) comme peut l’être l’utilisation de mots de passe statiques. Ces méthodes d’authentification à double facteur qui fleurissent sur Internet existent depuis un quinzaine d’années mais ont du mal à se démocratiser auprès du grand public. Nous y retrouvons les leaders tels que RSA, HID Global et Safenet, mais de nouveaux acteurs plus “User Friendly” arrivent sur le marché tels que InWebo et Login People.

Inwebo et Login People apportent une solution d’authentification double facteur innovante. Dans un cas avec InWebo, l’utilisateur reçoit une notification push sur son smartphone qu’il doit approuver (plus besoin de copier coller un code PIN à 6 chiffres sur le portail web). Et dans l’autre cas, avec Login People, c’est le smartphone, l’ordinateur portable ou une clé USB qui font office de deuxième facteur d’authentification (méthode dite d’authentification par ADN).

Une fois cette double authentification en place, il suffit de présenter un portail sécurisé supportant ces mécanismes de double authentification. F5 Networks par exemple dispose d’une solution permettant la centralisation des authentification (fédération d’identité) et de génération d’OTP via SMS appelée APM (Access Policy Manager).

Prévenir l’exploitation des bugs

Le vol a ciblé des bugs connus dans Firefox. Cela signifie que des hackers peuvent utiliser ces bugs de sécurité pour compromettre les données saisies ou stockées dans le navigateur Firefox d’un utilisateur. On peut donc imaginer un hacker développer un malware utilisant ces failles.

En attendant que Mozilla mette à jour ces failles de sécurité, ce qu’il a déjà commencé à faire, il est possible de mettre en place des solutions de contrôle du poste de travail au niveau du navigateur. Avec CE type de solutions, les mots de passes et les transactions du client peuvent être chiffrés et sécurisés afin que le malware ou l’outil créé par le hacker, ne puissent compromettre l’intégrité des données. Chez F5 NETWORKS cette offre d’Anti-Fraude est nommée Websafe.

Written by Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès.
Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication.
Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.