Dans le cadre de sa campagne contre l’abus de cookies par les services en ligne, la CNIL a développé un outil maison open-source baptisé CookieViz, qui permet aux internautes de « mesurer l’impact des cookies lors de votre propre navigation« .
« Concrètement, Cookieviz analyse les interactions entre votre ordinateur, votre navigateur et des sites et serveurs distants« , expliquait la CNIL dans une notice. « En l’installant vous pourrez savoir à quels autres acteurs le site que vous visitez envoie des informations (…). Deux minutes et quelques clics suffisent pour explorer » l’arrière boutique » du web et visualiser en temps réel l’ampleur du phénomène du tracking !« .
L’initiative était intéressante, qui plus est en open-source, mais elle se retourne contre l’autorité administrative française. Un hacker anonyme a en effet dévoilé lundi sur SecLists que le code de l’outil proposé sous Windows, Linux et Mac OS X était « terrible et criblé de vulnérabilités de sécurité ridicules : XSS, injections SQL et des erreurs de configuration de sécurité qui peuvent conduire à une fuite de données des fichiers de l’utilisateur et potentiellement à les compromettre en poussant des fichiers malveillants vers son système« .
Pire, le hacker a même publié un Proof Of Concept (PoC) pour exploiter les failles du logiciel à l’encontre des utilisateurs.
En réaction, la CNIL a décidé de supprimer le téléchargement direct de CookieViz depuis son site internet, en laissant le fichier sur GitHub. « Nos équipes procèdent actuellement au contrôle du logiciel CookieViz. Nous publierons un correctif de ce projet open source dans la journée« , a-t-elle ajouté mardi.
L’autorité a également tenu à « encourager fortement les contributeurs à publier des correctifs« .
Nos équipes procèdent actuellement au contrôle du logiciel #CookieViz Nous publierons un correctif de ce projet open source dans la journée.
— CNIL (@CNIL) 4 Novembre 2014
Nous encourageons fortement les contributeurs à publier des correctifs au code du logiciel #cookieviz si des vulnérabilités sont observées
— CNIL (@CNIL) 4 Novembre 2014
https://youtube.com/watch?v=5UJGlDPRLCw%3Frel%3D0
Nouveauté : Découvrez
La meilleure expérience de Numerama, sans publicité,
+ riche,
+ zen,
+ exclusive.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !