Dans le cadre de sa campagne contre l’abus de cookies par les services en ligne, la CNIL a développé un outil maison open-source baptisé CookieViz, qui permet aux internautes de « mesurer l’impact des cookies lors de votre propre navigation« .
« Concrètement, Cookieviz analyse les interactions entre votre ordinateur, votre navigateur et des sites et serveurs distants« , expliquait la CNIL dans une notice. « En l’installant vous pourrez savoir à quels autres acteurs le site que vous visitez envoie des informations (…). Deux minutes et quelques clics suffisent pour explorer » l’arrière boutique » du web et visualiser en temps réel l’ampleur du phénomène du tracking !« .
L’initiative était intéressante, qui plus est en open-source, mais elle se retourne contre l’autorité administrative française. Un hacker anonyme a en effet dévoilé lundi sur SecLists que le code de l’outil proposé sous Windows, Linux et Mac OS X était « terrible et criblé de vulnérabilités de sécurité ridicules : XSS, injections SQL et des erreurs de configuration de sécurité qui peuvent conduire à une fuite de données des fichiers de l’utilisateur et potentiellement à les compromettre en poussant des fichiers malveillants vers son système« .
Pire, le hacker a même publié un Proof Of Concept (PoC) pour exploiter les failles du logiciel à l’encontre des utilisateurs.
En réaction, la CNIL a décidé de supprimer le téléchargement direct de CookieViz depuis son site internet, en laissant le fichier sur GitHub. « Nos équipes procèdent actuellement au contrôle du logiciel CookieViz. Nous publierons un correctif de ce projet open source dans la journée« , a-t-elle ajouté mardi.
L’autorité a également tenu à « encourager fortement les contributeurs à publier des correctifs« .
Nos équipes procèdent actuellement au contrôle du logiciel #CookieViz Nous publierons un correctif de ce projet open source dans la journée.
— CNIL (@CNIL) 4 Novembre 2014
Nous encourageons fortement les contributeurs à publier des correctifs au code du logiciel #cookieviz si des vulnérabilités sont observées
— CNIL (@CNIL) 4 Novembre 2014
https://youtube.com/watch?v=5UJGlDPRLCw%3Frel%3D0
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.
