Lorsqu'elle a communiqué sur la problématique des cookies, et ses nouvelles règles en la matière, la CNIL a mis en place un outil maison basé sur Wireshark et Chromium : CookieViz. Mais dans la nuit, des failles de sécurité ont été identifiées dans cet outil. La Commission vient ainsi de publier un patch correctif et une nouvelle version.
Afin de permettre à tout le monde de visualiser comment les sites et les trackers qu'ils nous imposent nous suivent à longueur de journée, la CNIL avait mis en ligne il y a quelques mois un outil développé par ses équipes : CookieViz. Basé sur Wireshark et Chromium, celui-ci analyse les données échangées sur votre connexion et les cookies déposés sur votre machine afin de générer un graphique montrant les interactions avec les sites, leurs partenaires et les croisements possibles.
Problème, à minuit, le compte @SecLists indiquait sur Twitter que des failles XSS et d'injection SQL permettaient de piéger des utilisateurs, PoC (Proof of Concept) à la clef. L'auteur ne se prive d'ailleurs pas de critiquer la qualité du code proposé et assume sa volonté de « troller » l'institution. Quoi qu'il en soit, alertée par ce biais, la CNIL a néanmoins rapidement réagit et a diffusé un patch et une nouvelle version à travers son compte GitHub, où le code source du projet est hébergé et diffusé sous licence GPL v3.
Elle précise d'ailleurs au passage que « Le code source du logiciel est librement accessible sous licence GPLV3 et peut être enrichi par chacun des utilisateurs. Nous proposons donc aux plus expérimentés d’améliorer cette version initiale de notre outil ou de corriger d’éventuels bugs. Vous avez une idée que vous souhaitez partager avec nous pour améliorer ce projet ? Vous avez envie de vous appuyer sur cette base pour construire un projet de pédagogie de la traçabilité numérique ? Contactez l’équipe du laboratoire CNIL par mail - deip(at)cnil.fr - ou via le compte Twitter @CNIL. »
Car la méthode choisie pour la divulgation de ces failles irrite sans doute l'institution. Il aurait effectivement été plus sain d'alerter directement la CNIL dans un premier temps ou même de passer par la déclaration d'un bug ou la proposition d'un correctif via le dépôt GitHub, ce qui est tout l'intérêt d'un projet open source. C'est d'ailleurs ce qu'avait fait de son côté Stéphane Bortzmeyer dans la matinée.
Merci aux contributeurs de #cookieviz projet libre de recherche qui n’a pas vocation à être exempt de bugs. Dans l’attente de contributions!
— CNIL (@CNIL) 4 Novembre 2014
