# Systmes > Windows > Scurit >  La fondation Mozilla divulgue accidentellement les mots de passe de 44 000 comptes

## Idelways

*La fondation Mozilla divulgue accidentellement les mots de passe de 44 000 comptes*
*Lis  son catalogue d'extensions*



La fondation Mozilla a malencontreusement expos les mots de passe d'environ 44 000 comptes utilisateurs de son catalogue d'extensions en laissant une sauvegarde d'une base de donne dans un espace web publique.

La fondation assure avoir pris depuis les prcautions ncessaires pour que cet accident ne puisse pas avoir d'effet nfaste.

Seuls des comptes crs avant le 9 avril 2009 sont touchs. Les mots de passe taient jusqu' cette date chiffrs avec l'algorithme de hachage MD5. Depuis, ces comptes ont t dsactivs et leurs mots de passe effacs de la base de donne de production. Les utilisateurs concerns auraient t prvenues par e-mail afin de choisir ventuellement d'autres mots de passe et ractiver ainsi leurs comptes.

Les comptes crs aprs cette date ne seraient donc pas touchs vu qu'ils sont chiffrs avec un algorithme plus sr (SHA-512) et en utilisant la technique du grain-de-sel (qui consiste  ajouter un prfixe ou suffixe au mot de passe avant son Hashage pour prvenir les attaques de type dictionnaire ou de force brute).

Bien que la fondation ait t prvenue discrtement de l'existence de cette fuite par un chercheur en scurit, elle a prfr rendre publique cette affaire par mesure de prcaution. Un effort de transparence que l'on ne peut que saluer.

En attendant peut-tre qu'une icne soit insre sur le site de Mozilla, avertissant les utilisateurs que leurs mots de passe pourront tre mis publiquement  la disposition de tous.

Une boutade (injuste) bien sr, pour rappeler la (louable) initiative de Aza Raskin qui propose au W3C des icne de signaltique  afficher sur les sites webs pour que ceux-ci clarifient et communiquent leurs politiques concernant la confidentialit des donnes rcolts sur les visiteurs.



*Source* : le blog de scurit de Mozilla


*En collaboration avec Gordon Fowler*

----------


## Neko

Je suppose donc qu'ils ont leur grand gagnant  ::ccool::

----------


## jayfaze

bah ca arrive hein  ::oops:: 

Enfin ca m'etone quand meme que mozilla stockait ses mot de passe avec juste *md5 sans salage* avant 2009

----------


## tbarry

Celui qui l'a dcouvert n'est pas ncessairement gagnant car ceci n'tait pas un bug ni une faille de scurit, je veux dire ce n'est pas parce qu'il y a un programme qui est mal foutu que tous a est arriv; je dirai que c'est un problme d' "administration" 



> Le programme de Mozilla rcompensant les dcouvertes de failles de scurit tendu aux applications web, 3000$ offerts pour un bug "extraordinaire"


la faille n'est pas dans le programme mais dans la tte de celui qui les grent  ::mouarf::

----------


## Celira

Autrement dit, ce que nous avons l, c'est le bug bien connu de l'interface chaise-clavier  ::mouarf::

----------


## programaniac

J'ai l'impression que a cache quelque chose tout a lol

----------


## thithi83

> Enfin ca m'etone quand meme que mozilla stockait ses mot de passe avec juste md5 sans salage avant 2009


Tu serais surpris de la quantit d'applications que je croise rgulirement, et qui prfrent outrageusement stocker les mots de passe en clair, et les faire transiter en clair sur le rseau........ Totalement irresponsable, mais cote moins cher que de commencer  rflchir sur l'implmentation d'une solution scurise... Il y a des jours o certaines entreprises se foutent royalement de l'importance des donnes clients.




> Autrement dit, ce que nous avons l, c'est le bug bien connu de l'interface chaise-clavier


Y avait-il au moins un cerveau (perceptions - penses - actions) entre les deux ??? 
Question cruciale, car il n'est pas rare de trouver des coquilles vides !

Publier des mots de passe..............................................
Gros problme d'administration... Changer d'administrateur ? 
Ce n'est pas vident dans les projets bnvoles...

S'attaquer  la cause:
Arrter de grer des fichiers de mots de passe permet d'viter de tels problmes. Engueuler publiquement l'idiot qui a fait la bourde n'est pas forcment une solution prenne... Lui expliquer les consquences de ses actes serait une dmarche plus professionnelle.

Cdlt

----------


## Jean-Philippe Dub

Pour ma pars, je flicite Mozilla qui a su agir de manire juste et transparente. Il est impossible d'tre  l'abrie de l'erreur humaine, mais les entreprises ont trop souvent tendence  touffer ce genre d'affaires pour sauver leur "image".

----------


## minnesota

Vu les messages, on peut dire que tout le monde ** Mozilla.  ::mrgreen::

----------


## thithi83

> Vu les messages, on peut dire que tout le monde ** Mozilla.


On ne critique que ce qu'on aime, sans doute pour les aimer plus fort  ::mouarf::

----------


## mptijr

je prfre la franchise de mozilla par rapport ....................... suivez mon regard.

vraiment  ::ccool::  comme navigateur.

----------

