Un hacker anonyme a dévoilé que le logiciel open-source CookieViz développé par « les experts de la CNIL » était rempli de failles de sécurité critiques. L’outil est proposé aux internautes par l’autorité administrative pour mieux connaître les cookies générés lors de leur navigation.

Dans le cadre de sa campagne contre l’abus de cookies par les services en ligne, la CNIL a développé un outil maison open-source baptisé CookieViz, qui permet aux internautes de « mesurer l’impact des cookies lors de votre propre navigation« . 

« Concrètement, Cookieviz analyse les interactions entre votre ordinateur, votre navigateur et des sites et serveurs distants« , expliquait la CNIL dans une notice. « En l’installant vous pourrez savoir à quels autres acteurs le site que vous visitez envoie des informations (…). Deux minutes et quelques clics suffisent pour explorer  » l’arrière boutique  » du web et visualiser en temps réel l’ampleur du phénomène du tracking !« .

L’initiative était intéressante, qui plus est en open-source, mais elle se retourne contre l’autorité administrative française. Un hacker anonyme a en effet dévoilé lundi sur SecLists que le code de l’outil proposé sous Windows, Linux et Mac OS X était « terrible et criblé de vulnérabilités de sécurité ridicules : XSS, injections SQL et des erreurs de configuration de sécurité qui peuvent conduire à une fuite de données des fichiers de l’utilisateur et potentiellement à les compromettre en poussant des fichiers malveillants vers son système« .

Pire, le hacker a même publié un Proof Of Concept (PoC) pour exploiter les failles du logiciel à l’encontre des utilisateurs.

En réaction, la CNIL a décidé de supprimer le téléchargement direct de CookieViz depuis son site internet, en laissant le fichier sur GitHub. « Nos équipes procèdent actuellement au contrôle du logiciel CookieViz. Nous publierons un correctif de ce projet open source dans la journée« , a-t-elle ajouté mardi.

L’autorité a également tenu à « encourager fortement les contributeurs à publier des correctifs« .

https://youtube.com/watch?v=5UJGlDPRLCw%3Frel%3D0

Découvrez les bonus

+ rapide, + pratique, + exclusif

Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.

Découvrez les nombreux avantages de Numerama+.

S'abonner à Numerama+

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !