Des failles découvertes dans CookieViz : la CNIL publie un correctif

Des failles découvertes dans CookieViz : la CNIL publie un correctif

GitHub is not enough

Avatar de l'auteur
David Legrand

Publié dans

Logiciel

04/11/2014 3 minutes
18

Des failles découvertes dans CookieViz : la CNIL publie un correctif

Lorsqu'elle a communiqué sur la problématique des cookies, et ses nouvelles règles en la matière, la CNIL a mis en place un outil maison basé sur Wireshark et Chromium : CookieViz. Mais dans la nuit, des failles de sécurité ont été identifiées dans cet outil. La Commission vient ainsi de publier un patch correctif et une nouvelle version.

Afin de permettre à tout le monde de visualiser comment les sites et les trackers qu'ils nous imposent nous suivent à longueur de journée, la CNIL avait mis en ligne il y a quelques mois un outil développé par ses équipes : CookieViz. Basé sur Wireshark et Chromium, celui-ci analyse les données échangées sur votre connexion et les cookies déposés sur votre machine afin de générer un graphique montrant les interactions avec les sites, leurs partenaires et les croisements possibles.

 

Problème, à minuit, le compte @SecLists indiquait sur Twitter que des failles XSS et d'injection SQL permettaient de piéger des utilisateurs, PoC (Proof of Concept) à la clef. L'auteur ne se prive d'ailleurs pas de critiquer la qualité du code proposé et assume sa volonté de « troller » l'institution. Quoi qu'il en soit, alertée par ce biais, la CNIL a néanmoins rapidement réagit et a diffusé un patch et une nouvelle version à travers son compte GitHub, où le code source du projet est hébergé et diffusé sous licence GPL v3. 

 

Elle précise d'ailleurs au passage que « Le code source du logiciel est librement accessible sous licence GPLV3 et peut être enrichi par chacun des utilisateurs. Nous proposons donc aux plus expérimentés d’améliorer cette version initiale de notre outil ou de corriger d’éventuels bugs. Vous avez une idée que vous souhaitez partager avec nous pour améliorer ce projet ? Vous avez envie de vous appuyer sur cette base pour construire un projet de pédagogie de la traçabilité numérique ? Contactez l’équipe du laboratoire CNIL par mail - deip(at)cnil.fr - ou via le compte Twitter @CNIL. »

 

Car la méthode choisie pour la divulgation de ces failles irrite sans doute l'institution. Il aurait effectivement été plus sain d'alerter directement la CNIL dans un premier temps ou même de passer par la déclaration d'un bug ou la proposition d'un correctif via le dépôt GitHub, ce qui est tout l'intérêt d'un projet open source. C'est d'ailleurs ce qu'avait fait de son côté Stéphane Bortzmeyer dans la matinée.

 

Écrit par David Legrand

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Fermer

Commentaires (18)


Gemini_Power Abonné
Le 04/11/2014 à 18h 01

Personnellement, je trouve la réponse de la CNIL particulièrement bien sentie.



Déjà qu’ils fournissent ce genre d’outil pour suivre le traçage cookie (je ne connais pas d’équivalent, mais en même temps je n’ai pas cherché non plus).



En plus en licence GPL, c’est vraiment à encourager.

Que chacun, plutôt que de critiquer, comme nous français savons si bien le faire, mette la main à la pâte et aide à avancer, et tout le monde ne s’en portera que mieux.


LordZurp Abonné
Le 04/11/2014 à 18h 21

les versions linux et mac, si elles ont le mérite d’exister, sont un peu “rudes” à installer tout de même o_O

  surtout coté mac, jouer du macport ça doit en effrayer plus d’un !


Jarodd Abonné
Le 04/11/2014 à 20h 03

+1 premier commentaire.

Je ne le connaissais pas, pourquoi la CNIL ne communique pas dessus, surtout si on peut contribuer ?

Et puis un projet sans bug ou faille n’est pas un vrai projet <img data-src=" />


zefling Abonné
Le 04/11/2014 à 21h 30

Ce truc c’est une repompe de lightbeam ?


neves
Le 05/11/2014 à 01h 06







Gemini_Power a écrit :



Personnellement, je trouve la réponse de la CNIL particulièrement bien sentie.



Déjà qu’ils fournissent ce genre d’outil pour suivre le traçage cookie (je ne connais pas d’équivalent, mais en même temps je n’ai pas cherché non plus).



En plus en licence GPL, c’est vraiment à encourager.

Que chacun, plutôt que de critiquer, comme nous français savons si bien le faire, mette la main à la pâte et aide à avancer, et tout le monde ne s’en portera que mieux.





Je ne suis pas du tout d’accord avec toi. L’outil fournis est pire que tout : il est mal codé (vraiment mal), il y a des failles triviales et risibles, et pire que tout il fait une requête chez Google (!!) sur chaque nom de domaine rencontré… pour obtenir le favicon du site (wtf ?! pourquoi ?). C’est un comble, pour la CNIL. Autant ne rien faire plutôt que ce genre d’outils. Dire qu’il est open-source n’en fait pas un logiciel merveilleux pour autant.

&nbsp;

Mais au delà de la médiocrité du logiciel, c’est la communication des développeurs qui me choque : minimisation des failles (je cite “ces vulnérabilités ne sont exploitables que lorsque CookieViz est lancé. Si le logiciel est installé mais non lancé, aucun risque”), voire incompréhension totale de leurs impacts (je cite encore : “Une vulnérabilité permet de lire/écrire des infos sur le poste de l’utilisateur mais uniquement dans le répertoire de CookieViz”).



roger21
Le 05/11/2014 à 08h 06

j’ai rien lu des liens et donc mon commentaire est forcement d’une très haute qualité mais … des failles d’injection sql en 2014 … y’a rien aujourd’hui qui peux excuser ça rien, absolument rien, il faut aller chercher un stagiaire d’avant 2005 non informaticien pour laisser ce genre de failles …


Minikea
Le 05/11/2014 à 09h 01







Gemini_Power a écrit :



[…]Que chacun, plutôt que de critiquer, comme nous français savons si bien le faire,[…]







sauf que SecLists n’est pas Français! <img data-src=" />



Mina_V
Le 05/11/2014 à 09h 42

Jarodd&gt; La réponse doit être à cause des rageux/haters tels que neves ?



Avec des commentaires comme ça, ça va juste leur donner envie de fermer leur code, supprimer le logiciel et nous dire de nous démerder la prochaine fois.



&nbsp;En tant que libriste, ce genre de réaction (que j’ai pas mal vu) me fait gerber ! On pousse les gens à faire du libre et ensuite on les assassine en leur disant “vous faites que de la merde”. C’est sur que là, on sent bien notre côté ouvert….



Neves&gt; un type fait une IRresponsable disclosure et sur qui on tape ? sur l’éditeur qui aurait dû, qui réagit pas comme t’aurais voulu… franchement, Neves ?&nbsp; tu en connais bcp des boites dont le logiciel n’est pas leur cœur de métier qui réagissent en moins de 24h, publication de la maj et comm pas trop pourrie comprise, suite à une faille de sécurité ?

&nbsp;

Je suis crypto et franchement, la majorité des dev continuent à utiliser MD5 qu’on considère comme cassé depuis 15 ans !!! pas 24heures, 15 années. Et pourtant, je ne vois personne hurler là dessus à pars nous.

Même les dév en sécurité on tranquillement attendu 10 ans qu’il y ait “des attaques pratiques” pour vaguement considérer que, peut-être, il faudrait changer les occurences de MD5 par autre chose.

Et maintenant quand on dit arrêté SHA1, c’est l’heure de changer, c’est pas mieux.



&nbsp;Alors, ok ils sont pas parfait à la CNIL, loin de là, mais là tu fais juste dans la méchanceté pure.


Stel
Le 05/11/2014 à 10h 54

Tu es présent sur tout les articles qui parlent de la cnil.

A chaque fois tu les encense, tout est positif, c’est les meilleurs du monde, et surtout tu passe ton temps à les défendre quel que soit le sujet.

Même quand ils font de la merde, comme ce logiciel blindé de failles critiques.

De la à penser que tu travail à la cnil il y a qu’un pas…..

&nbsp;

Je laisse aux autres la liberté d’en penser ce qu’ils veulent.


FRANCKYIV
Le 05/11/2014 à 10h 58







Stel a écrit :



De la à penser que tu travail à la cnil il y a qu’un pas…..

 

Je laisse aux autres la liberté d’en penser ce qu’ils veulent.







Ben moi je pense que tu fais des faciles raccourcis … <img data-src=" />



Stel
Le 05/11/2014 à 11h 01







FRANCKYIV a écrit :



Ben moi je pense que tu fais des faciles raccourcis … <img data-src=" />





Peut être, mais alors pourquoi un particulier lambda passerais son temps à défendre la cnil ?

Ou alors être “fanboy cnil” ca existe… c’est chaud quand même.



FRANCKYIV
Le 05/11/2014 à 11h 06







Stel a écrit :



Peut être, mais alors pourquoi un particulier lambda passerais son temps à défendre la cnil ?

Ou alors être “fanboy cnil” ca existe… c’est chaud quand même.







Y en existe presque pour tout des fanboy <img data-src=" />



Y en a même de Justin Bieber … c’est pour dire … <img data-src=" />



fred42 Abonné
Le 05/11/2014 à 11h 11







Stel a écrit :



Peut être, mais alors pourquoi un particulier lambda passerais son temps à défendre la cnil ?

Ou alors être “fanboy cnil” ca existe… c’est chaud quand même.







Parce qu’elle nous défend plutôt pas mal avec les moyens qu’elle a ?

Qu’elle est toujours d’actualité 36 ans après sa création avec toutes les atteintes à nos données privées par les géants américains et les autres bouffeurs de données personnelles ?



Parce que la loi qui l’a créée et moi avons le même jour comme anniversaire ? (Ah non, ça ne marche pas pour tout le monde, ça)



La vraie question, c’est :



Pourquoi taper sur la CNIL alors qu’il y a le CSA ?



Gemini_Power Abonné
Le 05/11/2014 à 12h 27







neves a écrit :



Je ne suis pas du tout d’accord avec toi. L’outil fournis est pire que tout : il est mal codé (vraiment mal), il y a des failles triviales et risibles, et pire que tout il fait une requête chez Google (!!) sur chaque nom de domaine rencontré… pour obtenir le favicon du site (wtf ?! pourquoi ?). C’est un comble, pour la CNIL. Autant ne rien faire plutôt que ce genre d’outils. Dire qu’il est open-source n’en fait pas un logiciel merveilleux pour autant.





Peut être, mais un logiciel en code fermé peut avoir ces mêmes failles, sans que personnes n’en sache rien.

Le code ouvert permet justement d’éviter cela. Donc ca ne change rien à mon argument, l’utilisation du GPL est un plus.



Après, n’étant pas développeur Web, je ne sais rien de ce type de faille, ou de la qualité générale du code.

Néanmoins, cela rejoint la critique de la CNIL: au moins elle considère que ce qu’elle produit est perfectible

&nbsp;







neves a écrit :



Mais au delà de la

médiocrité du logiciel, c’est la communication des développeurs qui me

choque : minimisation des failles (je cite “ces vulnérabilités ne sont

exploitables que lorsque CookieViz est lancé. Si le logiciel est

installé mais non lancé, aucun risque”), voire incompréhension totale de

leurs impacts (je cite encore : “Une vulnérabilité permet de

lire/écrire des infos sur le poste de l’utilisateur mais uniquement dans

le répertoire de CookieViz”).





La minimisation de ses propres erreurs, je ne peux qu’aller dans ton sens : c’est anormal, surtout lorsque l’on parle de faille informatique. Pour ce point que je n’avais pas regardé, je te rejoins.

Mais mon intervention initial était pour le GPL, donc bon.

&nbsp;

&nbsp;



geekounet85 a écrit :



sauf que SecLists n’est pas Français! <img data-src=" />





Mais nous par contre, nous le somme, du moins pour la plupart (bonjour aux belges, suisses, canadiens, et autres <img data-src=" />)



&nbsp;



roger21 a écrit :



j’ai rien lu des liens et donc mon commentaire est forcement d’une très haute qualité mais … des failles d’injection sql en 2014 … y’a rien aujourd’hui qui peux excuser ça rien, absolument rien, il faut aller chercher un stagiaire d’avant 2005 non informaticien pour laisser ce genre de failles …





Comme dit, je ne suis pas dév Web, ni SQL. Si je dois faire ce type d’outil, cela passera par de la recherche web, du copiage d’existant, et du bidouillage.

Du coup, ce n’est peut être pas très professionnel, mais c’est parfaitement explicable (voire peut être même commun).

En revanche, libre à toi, si tu as du temps, de corriger ce défaut de l’outil.

Tout le monde n’a pas fait une école dédiée à ces techno, même si on peut être amené à devoir le faire.







En remarque à un autre commentaire, je n’ai aucun lien avec la CNIL.

J’apprécie par contre énormément cette optique, pour une agence étatique, de faire de logiciel ouvert.

C’est peut être aussi par soucis d’économies, mais vous auriez préféré que la CNIL demande à Microsoft ou Oracle de faire cet outil (j’aurais bien mis Facebook, mais ils ne dev que pour eux. et bon d’accord, microsoft ne dev pas vraiment non plus pour les autres, mais je pense que vous voyez le principe de ma remarque (un peu trollesque certes)).



&nbsp;

&nbsp;

&nbsp;



neves
Le 05/11/2014 à 16h 14







Mina_V a écrit :



Jarodd&gt; La réponse doit être à cause des rageux/haters tels que neves ?



Avec des commentaires comme ça, ça va juste leur donner envie de fermer leur code, supprimer le logiciel et nous dire de nous démerder la prochaine fois.



&nbsp;En tant que libriste, ce genre de réaction (que j’ai pas mal vu) me fait gerber ! On pousse les gens à faire du libre et ensuite on les assassine en leur disant “vous faites que de la merde”. C’est sur que là, on sent bien notre côté ouvert….



Neves&gt; un type fait une IRresponsable disclosure et sur qui on tape ? sur l’éditeur qui aurait dû, qui réagit pas comme t’aurais voulu… franchement, Neves ?&nbsp; tu en connais bcp des boites dont le logiciel n’est pas leur cœur de métier qui réagissent en moins de 24h, publication de la maj et comm pas trop pourrie comprise, suite à une faille de sécurité ?

&nbsp;

Je suis crypto et franchement, la majorité des dev continuent à utiliser MD5 qu’on considère comme cassé depuis 15 ans !!! pas 24heures, 15 années. Et pourtant, je ne vois personne hurler là dessus à pars nous.

Même les dév en sécurité on tranquillement attendu 10 ans qu’il y ait “des attaques pratiques” pour vaguement considérer que, peut-être, il faudrait changer les occurences de MD5 par autre chose.

Et maintenant quand on dit arrêté SHA1, c’est l’heure de changer, c’est pas mieux.



&nbsp;Alors, ok ils sont pas parfait à la CNIL, loin de là, mais là tu fais juste dans la méchanceté pure.





Dis donc, on se connait, pour que tu m’insultes comme ça gratuitement d’entrée de jeu ? Merci pour le rageux/haters juste parce que je ne suis pas ton avis, ça montre directement le niveau de débat qu’on peut avoir avec toi …



Qu’ils ferment leur code et suppriment leur logiciel, ça sera bien mieux oui, d’un point de vue purement sécuritaire.



Je suis aussi libriste, et ce genre de réaction (que je vois pas mal) qui consiste à dire “c’est libre, donc c’est bien, fermez vos gueules” ne fais que desservir complétement la cause de l’open-source. Merci d’arrêter ce comportement donc, qui ne permet qu’aux anti-libristes de dire que le code libre est merdique, preuve à l’appuie.



Tu le dis toi même, leur coeur de métier n’est pas le développement logiciel. Alors qu’ils ne fassent rien et sous-traitent à quelqu’un/une boite qui saura faire ça bien ! publication de la maj rapide ? encore heureux vu la trivialité des failles. Comm’ pas trop pourrie ? C’est une blague ? Leur com’ est complétement nulle, ils ont pris une pelle et continuent à creuser. Ils auraient du patcher et juste dire “voilà le patch”, plutôt que d’essayer de justifier l’injustifiable en montant qu’ils avaient rien compris à la technique.



Non je n’ai pas fais de méchanceté gratuite, je bosse dans la sécurité, c’est mon univers, je ne tolère pas ce genre de réactions de la CNIL. Et encore moins la tienne qui prend leur défense uniquement parce que c’est libre, sans chercher à savoir vraiment les implications (bon ici elles restent minimes puisque personne ne devait utiliser ce logiciel, mais là n’est pas la question). La sécurité, pour l’open-source ou le closed-source, c’est la même chose, pas de compromis.



neves
Le 05/11/2014 à 16h 17







Gemini_Power a écrit :



Peut être, mais un logiciel en code fermé peut avoir ces mêmes failles, sans que personnes n’en sache rien.

Le code ouvert permet justement d’éviter cela. Donc ca ne change rien à mon argument, l’utilisation du GPL est un plus.

&nbsp;





Tout à fait, je n’ai rien dit contre l’open-source ou la licence GPL dans mon commentaire. Je ne répondais qu’aux autres points.

&nbsp;



kr00tchev
Le 05/11/2014 à 20h 58

Je rejoins l’avis de neves, la qualité du code et la communication qu’il y a autour laisse fortement à désirer. Être un projet libre ne rend pas exempt de toute critique. En faisant écrire du code par des gens incompétents et en minimisant l’impact des vulnérabilités découvertes (pourtant énormes), la CNIL a mis en danger la sécurité des utilisateurs de son logiciel.


Jarodd Abonné
Le 06/11/2014 à 12h 57

Non je ne travaille pas à la CNIL. Et si c’était le cas, serait-ce un mal ? C’est quoi ce procès d’intention ? On n’a pas le droit de les soutenir ?



Ces sujets m’intéressent, et j’ai eu affaire à eux pour une affaire perso. Vu leur budget et leurs effectifs, je trouve qu’ils s’en sont très bien débrouillés. Et j’aimerais que ses pouvoirs soient augmentés, car on a de plus en plus besoin de pédagogie et de protection, malheureusement on leur marche dessus (comme au CNNum), ils sont là pour faire joli et c’est tout, alors que par les temps qui courent, leurs positions devraient être centrales, dans les discussions, voire même ils devraient pouvoir mettre leur veto sur un projet de loi. Malheureusement nos politiques ne comprennent pas les enjeux numériques d’aujourd’hui.



Mais je reconnais que ne pas mettre des commentaires juste remplis de râleries et de hors-sujet,&nbsp; on peut trouver ça bizarre, limite choquant.