Quand Premsgo (et Commerce français) met en danger ses utilisateurs

-
Avant tout, je tenais à vous dire que j'ai déjà signalé les failles auprès de l'Annuaire français en avril 2022 (et j'ai même relancé le mail 2 fois ! Donc 3 mails au final), mais celui-ci n'a manifestement pris aucune mesure pour corriger les failles citées dans le (ou les) mail et préfère cracher sur Qwant ! Alors dans un but avant tout préventif, je poste ce billet de blog pour vous expliquer le pourquoi du comment !



An 2022, ça y est les failles de sécurités élémentaires (type XSS ou Injection SQL) sont corrigés ! Ah ben non, il y en a encore quelques sites qui ne se sont toujours pas penchés là dessus !

Ici, je vais parler du moteur de recherche "100% autonome, issue de son propre crawl, index, algorithmes, data, infrastructure en France, sans faire appel a aucune donnée web de tierce partie" Premsgo !

Kesako ? C'est un moteur de recherche créé par l'Annuaire français pour concurrencer... Google ! Donc on peut dire que l'intention est louable donc, mais si je le cite ici ce n'est clairement pas pour une bonne raison !

Des failles élémentaires...mais dangereuses !


Alors qu'est ce qui ne va pas, en dehors d'une UI/UX catastrophique et des résultats absolument à la ramasse, le moteur de recherche présente des failles de sécurité qui peuvent mettre en danger ses utilisateurs ! Oui, oui ! Et attention ce sont des failles du type XSS (Cross Site Scripting) !

Ce qui fait qu'on peut injecter du code arbitraire sur Premsgo et les exemples de choses malveillantes qu'on peut faire avec sont nombreuses (exemples : redirection malveillante, prise de l'adresse IP de l'utilisateur etc...) !

Pour savoir concrètement ce qu'est une faille XSS, je joins cette vidéo qui explique très bien ce que c'est :



D'autant plus problématique quand on s'amuse à diffamer Qwant !

Car oui, l'Annuaire français s'amuse à diffamer sur ses concurrents (en particulier Qwant) à bases de mensonges et de tromperies en plus ! Mais alors quand il s'agit de se concentrer sur ses produits...rien de qualitatif est produit, d'ailleurs même le site de l'Annuaire français est une catastrophe (en plus bien sûr de Premsgo) !

Et l'Annuaire français prétend militer pour la protection/confidentialité des données mais ironie du sort, la société à déjà fait l'objet d'une amende par la CNIL pour manquements à quatre points du RGPD !

Comment se protéger de ces failles

Je ne peux que vous conseiller de changer de moteur de recherche pour le moment (déjà bravo si vous utilisez Premsgo tout les jours car de mon point de vue je le trouve inutilisable !) car ce n'est pas qu'une faille, c'en est plusieurs du même type, donc difficile de faire attention lorsque plusieurs failles de sécurité du même type (et élémentaires) se cachent auprès d'un même site !

Notez que Commerce français (de la même société éditrice) est aussi touché par une faille (toujours de type XSS) donc encore une fois, la meilleure manière de s'en protéger c'est de ne pas l'utiliser à l'heure actuelle !

Comment dire que c'est fort dommageable que Premsgo (et commerce français) soit touché par des failles élémentaires qui sont censés être connues de tout développeur !

Et je le répète, je poste ce billet de blog à titre préventif, je décline toute responsabilité si une utilisation malveillante de ces failles est faite !

P-S : Les failles ont été en partie corrigés ! Mais le développeur n'a pas hésiter à m'accuser de propos mensongers (ce qui n'est pas le cas !) !

Commentaires

Enregistrer un commentaire

Posts les plus consultés de ce blog

Pourquoi Mastodon n'est pas l'alternative ultime à Twitter ?

-
Image
 Bonjour à tous, Aujourd'hui dans ce billet de blog : Pourquoi Mastodon n'est pas l'alternative ultime à Twitter ? Parce que oui, #Mastodon a aussi son lot de défauts ! 1-Les instances Probablement l'étape la plus fastidieuse pour débuter sur Mastodon, il faut savoir que d'habitude on apprécie pas changer d'instance tout les 48h, donc choisir son instance peut amener à beaucoup de réflexion pour l'utilisateur lambda et peut être non-intuitive ! 2-La modération Si vous avez choisi Mastodon pour une histoire de modération, attention ! La modération varie en fonction d'une instance à l'autre, il peut y avoir du strict comme du laxiste ! Contrairement à Twitter ou la modération est uniforme ! (modération pas très fonctionnelle dans certains cas mais uniforme) Et c'est probablement ce qui ne vas pas aider dans des cas de harcèlement ! Instant #CasDeSituation : M. X sur l'instance Y harcèle Mme Z, la victime va donc se plaindre auprès de l'inst
Lire la suite

Le blog fait peau neuve !

-
 Nouveau ! Cela fait maintenant près de trois ans (depuis le déménagement du site) que je possède ce blog, qui avait un gros handicap, son design vieillissant ! Alors j'ai décidé (enfin) de changer le design du blog, désormais ce dernier est plus moderne ! À très bientôt
Lire la suite