CookieViz – Vulnérabilités sur le logiciel de la Cnil

2
116
CNIL & réseaux sociaux - Vie privée

Un chercheur en sécurité anonyme a publié plusieurs vulnérabilités importantes touchant le logiciel CookieViz, mis à disposition par la Cnil, permettant de suivre et de paramétrer le traçage des cookies.

L’histoire est assez ironique puisque c’est la Cnil elle-même qui est touchée par cette alerte sécurité, via son logiciel CookieViz. Comme quoi, cela peut arriver à tout le monde ! C’est par le biais de la mailing list Seclist qu’un anonyme a signalé une importante faille de sécurité présente dans le logiciel open source CookieViz proposé par la Cnil dans le cadre de son opération de contrôle des cookies initiée au début du mois d’octobre. Une injection SQL critique est pointée du doigt, en même temps qu’une XSS.

CookieViz permet aux utilisateurs de « visualiser les interactions entre votre ordinateur, votre navigateur et des sites et serveurs distants. » L’outil permet aux utilisateurs de visualiser de façon claire quelles traces ils laissent derrière eux en surfant sur le web. Selon l’auteur du message, « l’intention est louable mais le code est absolument désastreux et truffé de failles de sécurité ».

De plus, ce dernier ne fait pas de cadeau puisqu’il dévoile les failles de sécurité dans le détail et publiquement. Mais cela a le mérite de faire réagir rapidement : la Cnil a immédiatement suspendu le téléchargement direct de CookieViz depuis son site et ses équipes analysent actuellement le code du logiciel afin de jauger de la dangerosité des vulnérabilités publiées, explique la Cnil.

Aujourd’hui, un patch correctif a déjà été publié sur Github.

Les commentaires sont fermés.