Fail de CookieViz : la CNIL recommande un outil maison bourré de failles de sécurité

Le par  |  7 commentaire(s) Source : Numerama
Cookieviz

L'affaire a de quoi faire sourire, mais ne fait pas franchement l'affaire de la CNIL : un hacker vient de dévoiler que le logiciel open-source CookieViz développé en interne par la CNIL et recommandé par cette dernière serait criblé de failles.

Depuis quelques mois, la CNIL s'est engagée dans une lutte contre l'abus du recours au cookies par les sites Internet. Les cookies sont des fichiers générés lors du surf des internautes et permettent aux sites de récolter des données concernant les habitudes de l'utilisateur dans le but de lui offrir une expérience personnalisée, plus agréable, mais aussi parfois de pister ses actions en ligne pour mieux cibler la publicité en fonction de ses préférences.

Cookieviz Pour limiter les abus, la CNIL en est venue à développer un outil maison, baptisé CookieViz qui permet de mettre en alerte les utilisateurs sur l'impact des cookies pendant la navigation.

" Concrètement, Cookieviz analyse les interactions entre votre ordinateur, votre navigateur et des sites et serveurs distants. En l'installant, vous pourrez savoir à quels autres acteurs le site que vous visitez envoie des informations (...) Deux minutes et quelques clics suffisent pour explorer ' l'arrière-boutique' du web et visualiser en temps réel l'ampleur du phénomène du tracking !"

De belles promesses ternies par les révélations d'un hacker anonyme qui a dévoilé ce lundi sur SecLists que le code utilisé pour le logiciel était " terrible et criblé de vulnérabilités de sécurité ridicules : XSS, injections SQL et des erreurs de configuration de sécurité qui peuvent conduire à une fuite de données des fichiers de l'utilisateur et potentiellement à les compromettre en poussant des fichiers malveillants vers son système." Rien que cela...

Pour appuyer ses dires, le hacker a publié un Proof Of Concept ( PoC) qui a eu un effet radical : la CNIL a purement et simplement supprimé le téléchargement de son outil depuis son site Internet, en indiquant " Nos équipes procèdent actuellement au contrôle du logiciel CookieViz. Nous publierons un correctif de ce projet open source dans la journée"

Petite touche d'ironie, la CNIL, qui vantait les mérites de ses experts en sécurité lors de la présentation de son logiciel en appelle désormais à la communauté en ligne et tient à " encourager fortement les contributeurs à publier des correctifs". Qui a dit que l'autorité n'avait pas les épaules pour la tâche qui lui incombe ?

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1815941
Fallait vérifier le travail du stagiaire !
Le #1815943
informer c'est bien, sauf qu'en dehors de cela ça n'apporte rien puisque la quasi totalité des sites pratique le tracking notamment via des sociétés externes.

Par exemple sur une page GNT, il doit y en avoir environ une douzaine.

Le #1815946
PauletteParis a écrit :

informer c'est bien, sauf qu'en dehors de cela ça n'apporte rien puisque la quasi totalité des sites pratique le tracking notamment via des sociétés externes.

Par exemple sur une page GNT, il doit y en avoir environ une douzaine.


Attention !
Ta dernière phrase est lourde de conséquences ....
Les administrateurs de GNT vont scruter leur site à la loupe
Si le cas n'est pas avéré ... prépare toi à une magistrale remontée de bretelles
Le #1815957
DeepBlueOcean a écrit :

PauletteParis a écrit :

informer c'est bien, sauf qu'en dehors de cela ça n'apporte rien puisque la quasi totalité des sites pratique le tracking notamment via des sociétés externes.

Par exemple sur une page GNT, il doit y en avoir environ une douzaine.


Attention !
Ta dernière phrase est lourde de conséquences ....
Les administrateurs de GNT vont scruter leur site à la loupe
Si le cas n'est pas avéré ... prépare toi à une magistrale remontée de bretelles


Ça tombe bien je perds mon pantalon

Ils le savent autant que moi, mais comme je l'ai écrit, c'est vrai pour tous les sites ; Et il n'y en a peut être plus, je ne suis pas un spécialiste de ce genre d'analyse, surtout que certains ne sont pas cachés puisqu'ils s'affichent sous tes yeux.

Pour info, le site de la CNIL utilise "Piwik Analytics" activé par défaut, mais combien de gens vont s'amuser à aller le désactiver ? et même savent simplement qu'il existe cette possibilité ?
http://fr.piwik.org/

Le #1815975
Les experts en sécurité de la CNIL...

Le #1815977
PauletteParis a écrit :

informer c'est bien, sauf qu'en dehors de cela ça n'apporte rien puisque la quasi totalité des sites pratique le tracking notamment via des sociétés externes.

Par exemple sur une page GNT, il doit y en avoir environ une douzaine.


Adresse Web :
https://addons.mozilla.org/fr/firefox/addon/ghostery/


Le #1816140
ZenMate entant que VPN et Sandboxie pour rendre virtuel le navigateur.

Ton navigateur n'est jamais modifié en permanence avec Sandboxie et tu peux faire en sorte que la cache de sandboxie s'efface à chaque fois que tu ferme les pages.
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]