Le programme de primes pour les bogues aide à résoudre une vulnérabilité de sécurité dans Persona
Persona est un mécanisme d’identification sécurisé pour le Web mis au point par Mozilla. Il utilise une adresse email (possibilité d’en avoir plusieurs pour se connecter à différents sites). Mercredi, Michael Coates, directeur de l’assurance sécurité chez Mozilla, divulgue la découverte et la correction d’une faille de sécurité qui a touché Persona.
Le signalement de cette vulnérabilité de sécurité a été fait dans le cadre du programme de primes pour le signalement de bogues (Bug Bounty) lancé en 2004 par Mozilla. Ce programme favorise la divulgation responsable des failles de sécurité qui sont rendues public seulement quand l’éditeur du logiciel ou du service a corrigé le problème. Pour que le secret soit gardé le temps qu’il faut, il est nécessaire que l’éditeur soit réactif comme Mozilla comme le prouve une nouvelle fois le processus de signalement et de correction d’une faille divulguée par ce billet du blog sécurité de Mozilla :
Le programme de primes pour les bogues trouve et aide à résoudre une vulnérabilité de sécurité dans Persona
Le but de notre « programme Bug Bounty » est d’encourager les contributeurs à tester et à faire des expériences sur notre code aux fins d’amélioration de ses fonctionnalités, sa sécurité et sa robustesse. Grâce à ce programme, nous avons récemment été alerté d’une faille de sécurité potentielle dans l’un de nos produits de services Web.
Problème
Mardi 24 septembre, Mozilla s’est vu notifier par un chercheur en sécurité d’une vulnérabilité dans le service Persona qui pourrait permettre à un attaquant de s’authentifier sur un site Web avec Persona utilisant l’identité d’un compte existant gmail ou yahoo.
À partir du mardi 1er octobre, nous avons déployé des mises à jour de Persona pour répondre pleinement à ce problème de sécurité. Nous avons également examiné les données des journaux disponibles du 10 septembre au 2 octobre et avons confirmé que cette faille n’a pas été utilisée pour cibler un quelconque utilisateur.
Impact
La vulnérabilité aurait pu permettre à un attaquant malveillant de s’authentifier sur un site Web avec Persona en utilisant l’identité d’un compte existant gmail ou yahoo.
N. B. : Ce problème a uniquement impacté le service Persona et les sites qui mettent en œuvre Persona. Cette vulnérabilité n’a aucune incidence sur la sécurité du service de courriel de l’utilisateur gmail ou yahoo.
État
Mozilla a immédiatement enquêté et testé des correctifs pour résoudre ce problème. Les correctifs initiaux pour Persona ont été déployés vendredi 27 septembre et des correctifs supplémentaires pour un cas extrême identifié ont été déployés mardi 1er octobre.
La vulnérabilité qui a conduit à ce problème a été créée par des hypothèses erronées de comportement et de sécurité avec deux bibliothèques tierces. Nous avons appréhendé ces détails plus pleinement dans un billet technique sur le sujet rédigé par Lloyd Hilaiel.
Le crédit pour la découverte de ce problème va à Daniel Fett, Ralf Kuesters et Guido Schmitz, chercheurs de la Chaire de sécurité de l’information et cryptographie, Université de Trèves, en Allemagne.
Le document original et cette traduction sont soumis aux conditions de la licence
Creative Commons : « Paternité – Partage des conditions initiales à l’identique 3.0 »
ou toute version postérieure.
Crédit image Mozilla
Sources et références
- Mozilla Security Blog, 2 oct. 2013 :
- Assistance de Mozilla : Qu’est-ce que Persona et comment ça marche ?
- Persona.org : Mozilla Persona : À propos : Une façon plus simple de s’identifier
- Mozilla : Mozilla Persona — simple sign-in with email — mozilla.org
- Bidouilleux d’Web, BrowserID (protocole ouvert sur lequel se base Persona), 16 mai 2012, Pierre Rudloff
- MDN : Persona