Depuis quelques mois, la CNIL s'est engagée dans une lutte contre l'abus du recours au cookies par les sites Internet. Les cookies sont des fichiers générés lors du surf des internautes et permettent aux sites de récolter des données concernant les habitudes de l'utilisateur dans le but de lui offrir une expérience personnalisée, plus agréable, mais aussi parfois de pister ses actions en ligne pour mieux cibler la publicité en fonction de ses préférences.

Cookieviz  Pour limiter les abus, la CNIL en est venue à développer un outil maison, baptisé CookieViz qui permet de mettre en alerte les utilisateurs sur l'impact des cookies pendant la navigation.

" Concrètement, Cookieviz analyse les interactions entre votre ordinateur, votre navigateur et des sites et serveurs distants. En l'installant, vous pourrez savoir à quels autres acteurs le site que vous visitez envoie des informations (...) Deux minutes et quelques clics suffisent pour explorer ' l'arrière-boutique' du web et visualiser en temps réel l'ampleur du phénomène du tracking !"

De belles promesses ternies par les révélations d'un hacker anonyme qui a dévoilé ce lundi sur SecLists que le code utilisé pour le logiciel était " terrible et criblé de vulnérabilités de sécurité ridicules : XSS, injections SQL et des erreurs de configuration de sécurité qui peuvent conduire à une fuite de données des fichiers de l'utilisateur et potentiellement à les compromettre en poussant des fichiers malveillants vers son système." Rien que cela...

Pour appuyer ses dires, le hacker a publié un Proof Of Concept ( PoC) qui a eu un effet radical : la CNIL a purement et simplement supprimé le téléchargement de son outil depuis son site Internet, en indiquant " Nos équipes procèdent actuellement au contrôle du logiciel CookieViz. Nous publierons un correctif de ce projet open source dans la journée"

Petite touche d'ironie, la CNIL, qui vantait les mérites de ses experts en sécurité lors de la présentation de son logiciel en appelle désormais à la communauté en ligne et tient à " encourager fortement les contributeurs à publier des correctifs". Qui a dit que l'autorité n'avait pas les épaules pour la tâche qui lui incombe ?

Source : Numerama