J'ai récemment remarqué un rapport de test de pénétration dans lequel la non-conformité à la loi sur les cookies de l'Union européenne (UE) a été déclarée comme une constatation dans une catégorie "autre". Je considère cela plus comme une question juridique liée à la vie privée et non pas tant à la sécurité.
Pourquoi cela figurerait-il dans un rapport de test de pénétration? Y a-t-il des problèmes liés à la sécurité que je ne connais pas?
Je ne connais aucun impact technique sur la sécurité lié au non-respect des lois de l'UE sur les cookies.
En fin de compte, je pense que cela est principalement dû à la discrétion de l'évaluateur et au contexte de l'évaluation. Les problèmes de confidentialité sont adjacents à la sécurité et ont des impacts de relations publiques similaires, et peuvent même être jugés comme portant atteinte aux droits de l'individu, donc je pense que dans certains cas, de telles conclusions peuvent être utiles.
Pour moi, la question n'est pas tant de savoir si ces choses doivent être signalées au client, mais si elles doivent ou non figurer dans le rapport pentest lui-même. Il existe d'autres canaux de communication qui peuvent être utilisés pour relayer ces informations. Il est possible que cela ait été discuté et que le client ait demandé que cela soit inclus dans le rapport. Il se pourrait même que les problèmes de conformité soient l'un des principaux moteurs de la première évaluation. Certains champs d'application incluent explicitement la recherche de résultats qui pourraient embarrasser l'entreprise ou ses associés (l'injection de contenu est amusante ici).
J'ai tout signalé, des problèmes de fonctionnalité aux fautes de frappe (bien que graves avec des conséquences vulgaires) aux clients lors de travaux de pentesting, le cas échéant, car en fin de compte, mon travail consiste à aider à améliorer leur système. Je ne pense pas que cela fasse mal d'inclure ce genre de chose dans un rapport car il peut toujours être retiré et déposé séparément à la demande du client.
Une vulnérabilité est quelque chose qui vous laisse ouvert à la possibilité d'être blessé. Être poursuivi ou poursuivi pour avoir enfreint la loi est une forme de préjudice. Par conséquent, le non-respect de la loi est une vulnérabilité. C'est vraiment simple.
Il s'agit d'un problème de sécurité pour les utilisateurs.
Le non-respect des lois relatives aux cookies comprend le fait que des données de cookies sont créées à votre sujet lorsque vous êtes sur le site, après avoir cliqué sur 'opt-out'. Si le site ne reconnaît pas le GDPR (lois sur la confidentialité), un certain degré d'informations d'identification personnelle sur l'utilisateur est divulgué dans le domaine du site, stocké et utilisé d'une manière qui équivaut à un suivi. Ceci comprend:
Les cookies sont une chose évidente à tester, et c'est peut-être le seul moyen fiable de tester le suivi, car les techniques d'arrière-plan seraient invisibles à moins qu'une fonctionnalité de personnalisation spécifique ne reste cohérente d'une page à l'autre.
Pour certains corp dont j'ai fait partie, certains avocats soutiennent que les cookies ne sont pas illégaux tant qu'ils ne connectent pas les données de session avec un identifiant personnel.
Quoi qu'il en soit, ce serait un vecteur probable d'erreurs ou de fausses déclarations, et je m'attends donc à ce qu'il apparaisse dans un rapport traitant de la sécurité des utilisateurs.
tl; dr: les gens ne semblent pas comprendre que la confidentialité des utilisateurs est un problème de sécurité pour le utilisateur.
Le non-respect de la loi signifie que le site doit être réparé. Le RGPD en particulier n'est pas une loi "facultative" où vous pouvez accepter les amendes pour une infraction.
Il est donc probable que le site doit être réparé. Mais les délais GDPR sont serrés. De nombreuses entreprises ont réalisé qu'elles devaient commencer tôt. Pour d'autres, comme dans ce cas, ce sera un travail urgent. Et l'expérience avec les emplois Rush est qu'au mieux vous obtenez ce qui est demandé. Donc, ici, les modifications de dernière minute apportées au site peuvent ne pas passer par un examen approfondi de la sécurité car la conformité au RGPD est prioritaire.
À titre d'exemple, le RGPD donne aux clients le droit de revoir leurs données propres. Une mise en œuvre précipitée peut donner aux clients le droit de consulter les données autres, y compris les données sensibles de l'entreprise et les données d'autres clients. C'est un problème de sécurité certain. Par conséquent, la nécessité de se dépêcher de se conformer au RGPD est correctement identifiée comme un facteur de risque.