nos newsletters
Abonnez-vous à Micro Hebdo : 1,23€ / n°
Abonnez-vous à l'Ordinateur Individuel : 3 €/mois
Abonnez-vous à 01Business et Technologies : 3,20€ / n°
Abonnez-vous à la version digitale
Deux internautes découvrent par hasard une faille sur Cnil.fr
La faille aurait permis à des individus d'afficher des informations sur le site de la Cnil. Elle a été colmatée avant que des dégâts ne soient constatés.
La semaine dernière, les responsables du site Internet de la Commission nationale de l'informatique et des libertés (Cnil) on été alertés d'une vulnérabilité sur leur site Web. La faille de type Cross-Site Scripting, connue aussi sous le nom de XSS, aurait pu être exploitée par des individus malveillants pour accéder à certaines parties du site.
agrandir la photo
La découverte du bug revient à deux internautes français, Romain et Jérôme, alors qu'ils surfaient sur l'espace agenda du site de la Cnil. « D'abord, avec l'apparition d'une page d'erreur, explique Romain, Je n'ai rien tapé de particulier. Juste une erreur de frappe dans l'URL de la page que je souhaitais visiter. » La mauvaise interprétation de l'adresse par le serveur a fait que ce dernier a renvoyé des informations, directement dans le navigateur des deux surfeurs, et affiché d'autres contenus.
Accès potentiel à la base de données
Nous avons pu reconstituer le scénario et constater qu'il était possible, avec une adresse officielle « cnil.fr » particulièrement formée, de procéder à certaines opérations peu rassurantes pour les visiteurs comme d'intercepter leur cookie de connexion, d'afficher des informations directement sur le site, de diffuser un code malveillant ou encore d'avoir un accès potentiel à la base de données de la Cnil. « Pour ce qui concerne la base de données, confient les deux internautes, nous ne sommes pas allés chercher plus loin. »
Aussitôt contactée, la Cnil a colmaté la faille. Elle vient de confirmer la correction, ce mardi soir, par le biais de Yann Padova, son secrétaire général : « Nous avons mené les expertises nécessaires pour vérifier la réalité de cette alerte. Nous avons effectivement détecté un léger dysfonctionnement relatif à une extension de notre outil de gestion des contenus. Nous avons immédiatement effectué une mise à jour… Je tiens à vous préciser que ce dysfonctionnement n'était pas de nature à corrompre le site Internet de la Cnil ou à mettre en péril nos données. »
Mais venant du site censé veiller sur nos libertés numériques, le scénario de cette découverte n'est pas très rassurant.
Actu précédente
Actu Suivante
rassurant
de
cathy666666666
, posté le 15 septembre 2010 à 19h58
"Mais venant du site censé veiller sur nos libertés numériques, le scénario de cette découverte n'est pas très rassurant."
Moi je trouve au contraire très rassurant que la cnil ait accepté qu'on lui signale un problème, qu'elle l'ait corrigée, et qu'elle ait été parfaitement honnête envers ça.
On a en mémoire d'autres organisations qui à l'inverse ont fait un procès au lanceur d'alertes, ou d'autre qui ont juste nié et ignoré le problème.
Personne n'est à l'abri d'un bug informatique, mais c'est dans le comportement vis à vis de lui qu'on est rassuré ou pas.
Moi je trouve au contraire très rassurant que la cnil ait accepté qu'on lui signale un problème, qu'elle l'ait corrigée, et qu'elle ait été parfaitement honnête envers ça.
On a en mémoire d'autres organisations qui à l'inverse ont fait un procès au lanceur d'alertes, ou d'autre qui ont juste nié et ignoré le problème.
Personne n'est à l'abri d'un bug informatique, mais c'est dans le comportement vis à vis de lui qu'on est rassuré ou pas.
alerter le modérateur
Informatique et démocratie
de
Altos
, posté le 15 septembre 2010 à 21h22
"Personne n'est à l'abri d'un bug informatique" : c'est bien pour cela qu'il ne faut pas accepter le vote électronique. Soumettre la démocratie aux bugs et failles informatiques serait pour le moins dangereux !
alerter le modérateur
Bien sûr que c'est justement très rassurant
de
LeGoJac
, posté le 16 septembre 2010 à 07h56
Les administrateurs du site de la CNIL ont eu une réaction professionnelle. Il y en a enfin qui régissent de façon positive en corrigeant tout simplement sans se focaliser d'abord sur des cachoteries, dénégations, et autres sottises d'incapables.
Ce qui me paraît inquiétant au contraire c'est que l'auteur de l'article se fourvoie à ce ce point sur le fond d'un "problème" de sécurité.
Ce qui me paraît inquiétant au contraire c'est que l'auteur de l'article se fourvoie à ce ce point sur le fond d'un "problème" de sécurité.
alerter le modérateur
Ce que TOUS devraient faire
de
Mauchrist
, posté le 16 septembre 2010 à 08h03
Tout à fait !!
ZATAZ en a fait les frais dans tout les sens du mots !
ZATAZ en a fait les frais dans tout les sens du mots !
alerter le modérateur
à lire aussi
SUR LES MÊMES THÈMES 
