Bugzilla est un service web public (sur Internet), permettant à des développeurs de collaborer sur le développement de Firefox. Pour cela, une authentification simple par login password est utilisée pour authentifier le développeur ; et donc lui donner les droits adéquat. Hélas, si le développeur se fait voler ses identifiants (attaque par dictionnaire, malware, keylogger, social engineering …), le hacker dispose alors d’un accès à Bugzilla. C’est ce qui vient d’arriver.
La double authentification efficace et pourtant toujours négligée
Le maillon faible étant l’utilisation de mots de passes dits statiques, il est primordial de mettre en place des solutions d’authentification à base de mots de passes dynamiques ou à usages uniques (OTP). Ces solutions d’authentification forte requièrent un support que l’utilisateur va avoir en sa possession qui va servir à générer l’OTP (token, carte à puce, smartphone) et une information qu’il connait (un code PIN, un mot de passe, des réponses à des questions de sécurité). C’est ce qu’on appelle une solution d’authentification à double facteur : je m’authentifie avec quelque chose que je possède et quelque chose que je connais.
Cela afin de s’assurer que la personne connectée au portail est bien la personne autorisée mais surtout que son authentification ne soit plus vulnérable aux attaques par rejeu (en replay) comme peut l’être l’utilisation de mots de passe statiques. Ces méthodes d’authentification à double facteur qui fleurissent sur Internet existent depuis un quinzaine d’années mais ont du mal à se démocratiser auprès du grand public. Nous y retrouvons les leaders tels que RSA, HID Global et Safenet, mais de nouveaux acteurs plus “User Friendly” arrivent sur le marché tels que InWebo et Login People.
Inwebo et Login People apportent une solution d’authentification double facteur innovante. Dans un cas avec InWebo, l’utilisateur reçoit une notification push sur son smartphone qu’il doit approuver (plus besoin de copier coller un code PIN à 6 chiffres sur le portail web). Et dans l’autre cas, avec Login People, c’est le smartphone, l’ordinateur portable ou une clé USB qui font office de deuxième facteur d’authentification (méthode dite d’authentification par ADN).
Une fois cette double authentification en place, il suffit de présenter un portail sécurisé supportant ces mécanismes de double authentification. F5 Networks par exemple dispose d’une solution permettant la centralisation des authentification (fédération d’identité) et de génération d’OTP via SMS appelée APM (Access Policy Manager).
Prévenir l’exploitation des bugs
Le vol a ciblé des bugs connus dans Firefox. Cela signifie que des hackers peuvent utiliser ces bugs de sécurité pour compromettre les données saisies ou stockées dans le navigateur Firefox d’un utilisateur. On peut donc imaginer un hacker développer un malware utilisant ces failles.
En attendant que Mozilla mette à jour ces failles de sécurité, ce qu’il a déjà commencé à faire, il est possible de mettre en place des solutions de contrôle du poste de travail au niveau du navigateur. Avec CE type de solutions, les mots de passes et les transactions du client peuvent être chiffrés et sécurisés afin que le malware ou l’outil créé par le hacker, ne puissent compromettre l’intégrité des données. Chez F5 NETWORKS cette offre d’Anti-Fraude est nommée Websafe.