Dans le cadre de sa campagne contre l'abus de cookies par les services en ligne, la CNIL a développé un outil maison open-source baptisé CookieViz, qui permet aux internautes de "mesurer l'impact des cookies lors de votre propre navigation".
"Concrètement, Cookieviz analyse les interactions entre votre ordinateur, votre navigateur et des sites et serveurs distants", expliquait la CNIL dans une notice. "En l'installant vous pourrez savoir à quels autres acteurs le site que vous visitez envoie des informations (…). Deux minutes et quelques clics suffisent pour explorer " l'arrière boutique " du web et visualiser en temps réel l'ampleur du phénomène du tracking !".
L'initiative était intéressante, qui plus est en open-source, mais elle se retourne contre l'autorité administrative française. Un hacker anonyme a en effet dévoilé lundi sur SecLists que le code de l'outil proposé sous Windows, Linux et Mac OS X était "terrible et criblé de vulnérabilités de sécurité ridicules : XSS, injections SQL et des erreurs de configuration de sécurité qui peuvent conduire à une fuite de données des fichiers de l'utilisateur et potentiellement à les compromettre en poussant des fichiers malveillants vers son système".
Pire, le hacker a même publié un Proof Of Concept (PoC) pour exploiter les failles du logiciel à l'encontre des utilisateurs.
En réaction, la CNIL a décidé de supprimer le téléchargement direct de CookieViz depuis son site internet, en laissant le fichier sur GitHub. "Nos équipes procèdent actuellement au contrôle du logiciel CookieViz. Nous publierons un correctif de ce projet open source dans la journée", a-t-elle ajouté mardi.
L'autorité a également tenu à "encourager fortement les contributeurs à publier des correctifs".
Nos équipes procèdent actuellement au contrôle du logiciel #CookieViz Nous publierons un correctif de ce projet open source dans la journée.
— CNIL (@CNIL) 4 Novembre 2014
Nous encourageons fortement les contributeurs à publier des correctifs au code du logiciel #cookieviz si des vulnérabilités sont observées
— CNIL (@CNIL) 4 Novembre 2014
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !