[Contribution] EFF.org : Multiples faiblesses de sécurité
Plusieurs vulnérabilités et faiblesses de sécurité ont été découvertes sur des sous-domaines de l’Electronic Frontier Foundation (EFF.org) par des collaborateurs SYNETIS.
L’Electronic Frontier Foundation (EFF) est une ONGI de protection des libertés sur l’Internet fondée en 1990 aux États-Unis, notamment par l’auteur de la Déclaration d’indépendance du cyberespace.
L’EFF travaille à exposer les abus du droit encadrant Internet, organise des actions politiques et de l’envoi de mail en masse, avance des fonds pour la défense dans les procès, apporte son expertise comme amicus curiae, défend les individus et nouvelles technologies contre les menaces abusive de recours en justice, soutient certaines avancées technologiques qui préservent les libertés individuelles, et maintient une base de données et des sites internets indépendants qui relaient des nouvelles et conseils.
Plusieurs projets et outils sont issus des travaux de cette ONGI, notamment :
- HTTPS Everywhere
- Privacy Badger
- CertBot
- Panopticlick
- Surveillance Self-Defense
- Security Education Companion
Deux collaborateurs de SYNETIS ont contribué à améliorer la sécurité de l’EFF.org, notamment au travers de leur programme de responsible disclosure. En effet, des vulnérabilités et faiblesses de sécurité de type “injection“, “Cross-Site Scripting“, “enumeration” et “technical information leaks” ont été décelées par nos consultants.
D’après les directives du “Security Vulnerability Disclosure Program” de l’EFF, ces vulnérabilités ont été remontées de manière chiffrée aux équipes en charge de la sécurité. Après quelques jours et plusieurs échanges, les équipes de l’EFF ont corrigé et mitigé ces faiblesses de sécurité.
Le Hall of Fame de l’EFF comporte à présent le nom des collaborateurs SYNETIS ayant réalisé cette contribution.
Nous saluons les équipes de EFF pour les divers échanges, leur amabilité, leur efficacité et les valeurs qu’ils défendent.
Sources & ressources :
