Passer au contenu

Deux internautes découvrent par hasard une faille sur Cnil.fr

La faille aurait permis à des individus d’afficher des informations sur le site de la Cnil. Elle a été colmatée avant que des dégâts ne soient constatés.

La semaine dernière, les responsables du site Internet de la Commission nationale de l’informatique et des libertés (Cnil) on été alertés d’une vulnérabilité sur leur site Web. La faille de type Cross-Site Scripting, connue aussi sous le nom de XSS, aurait pu être exploitée par des individus malveillants pour accéder à certaines parties du site.

La faille découverte sur Cnil.fr est de type XSS.
La faille découverte sur Cnil.fr est de type XSS. – La faille découverte sur Cnil.fr est de type XSS.

La découverte du bug revient à deux internautes français, Romain et Jérôme, alors qu’ils surfaient sur l’espace agenda du site de la Cnil. « D’abord, avec l’apparition d’une page d’erreur, explique Romain, Je n’ai rien tapé de particulier. Juste une erreur de frappe dans l’URL de la page que je souhaitais visiter. » La mauvaise interprétation de l’adresse par le serveur a fait que ce dernier a renvoyé des informations, directement dans le navigateur des deux surfeurs, et affiché d’autres contenus.

Accès potentiel à la base de données

Nous avons pu reconstituer le scénario et constater qu’il était possible, avec une adresse officielle « cnil.fr » particulièrement formée, de procéder à certaines opérations peu rassurantes pour les visiteurs comme d’intercepter leur cookie de connexion, d’afficher des informations directement sur le site, de diffuser un code malveillant ou encore d’avoir un accès potentiel à la base de données de la Cnil. « Pour ce qui concerne la base de données, confient les deux internautes, nous ne sommes pas allés chercher plus loin. »

Aussitôt contactée, la Cnil a colmaté la faille. Elle vient de confirmer la correction, ce mardi soir, par le biais de Yann Padova, son secrétaire général : « Nous avons mené les expertises nécessaires pour vérifier la réalité de cette alerte. Nous avons effectivement détecté un léger dysfonctionnement relatif à une extension de notre outil de gestion des contenus. Nous avons immédiatement effectué une mise à jour… Je tiens à vous préciser que ce dysfonctionnement n’était pas de nature à corrompre le site Internet de la Cnil ou à mettre en péril nos données. »

Mais venant du site censé veiller sur nos libertés numériques, le scénario de cette découverte n’est pas très rassurant.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Damien Bancal