Quand Premsgo (et Commerce français) met en danger ses utilisateurs

Avant tout, je tenais à vous dire que j'ai déjà signalé les failles auprès de l'Annuaire français en avril 2022 (et j'ai même relancé le mail 2 fois ! Donc 3 mails au final), mais celui-ci n'a manifestement pris aucune mesure pour corriger les failles citées dans le (ou les) mail et préfère cracher sur Qwant ! Alors dans un but avant tout préventif, je poste ce billet de blog pour vous expliquer le pourquoi du comment !



An 2022, ça y est les failles de sécurités élémentaires (type XSS ou Injection SQL) sont corrigés ! Ah ben non, il y en a encore quelques sites qui ne se sont toujours pas penchés là dessus !

Ici, je vais parler du moteur de recherche "100% autonome, issue de son propre crawl, index, algorithmes, data, infrastructure en France, sans faire appel a aucune donnée web de tierce partie" Premsgo !

Kesako ? C'est un moteur de recherche créé par l'Annuaire français pour concurrencer... Google ! Donc on peut dire que l'intention est louable donc, mais si je le cite ici ce n'est clairement pas pour une bonne raison !

Des failles élémentaires...mais dangereuses !


Alors qu'est ce qui ne va pas, en dehors d'une UI/UX catastrophique et des résultats absolument à la ramasse, le moteur de recherche présente des failles de sécurité qui peuvent mettre en danger ses utilisateurs ! Oui, oui ! Et attention ce sont des failles du type XSS (Cross Site Scripting) !

Ce qui fait qu'on peut injecter du code arbitraire sur Premsgo et les exemples de choses malveillantes qu'on peut faire avec sont nombreuses (exemples : redirection malveillante, prise de l'adresse IP de l'utilisateur etc...) !

Pour savoir concrètement ce qu'est une faille XSS, je joins cette vidéo qui explique très bien ce que c'est :



D'autant plus problématique quand on s'amuse à diffamer Qwant !

Car oui, l'Annuaire français s'amuse à diffamer sur ses concurrents (en particulier Qwant) à bases de mensonges et de tromperies en plus ! Mais alors quand il s'agit de se concentrer sur ses produits...rien de qualitatif est produit, d'ailleurs même le site de l'Annuaire français est une catastrophe (en plus bien sûr de Premsgo) !

Et l'Annuaire français prétend militer pour la protection/confidentialité des données mais ironie du sort, la société à déjà fait l'objet d'une amende par la CNIL pour manquements à quatre points du RGPD !

Comment se protéger de ces failles

Je ne peux que vous conseiller de changer de moteur de recherche pour le moment (déjà bravo si vous utilisez Premsgo tout les jours car de mon point de vue je le trouve inutilisable !) car ce n'est pas qu'une faille, c'en est plusieurs du même type, donc difficile de faire attention lorsque plusieurs failles de sécurité du même type (et élémentaires) se cachent auprès d'un même site !

Notez que Commerce français (de la même société éditrice) est aussi touché par une faille (toujours de type XSS) donc encore une fois, la meilleure manière de s'en protéger c'est de ne pas l'utiliser à l'heure actuelle !

Comment dire que c'est fort dommageable que Premsgo (et commerce français) soit touché par des failles élémentaires qui sont censés être connues de tout développeur !

Et je le répète, je poste ce billet de blog à titre préventif, je décline toute responsabilité si une utilisation malveillante de ces failles est faite !

P-S : Les failles ont été en partie corrigés ! Mais le développeur n'a pas hésiter à m'accuser de propos mensongers (ce qui n'est pas le cas !) !

Commentaires

Posts les plus consultés de ce blog

Windows 11 : Pour en finir avec la règle des 1/2

Pourquoi Mastodon n'est pas l'alternative ultime à Twitter ?