Cogilog, faille de sécurité et erreurs à ne pas faire

À l’origine de cet article, je comptais me servir de Cogilog comme exemple typique d’un logiciel mal conçu. En effet, ce logiciel, très bien en terme fonctionnel, est un cas d’école de mauvais choix de conception.

Le problème, c’est que le cas d’école va très loin, on arrive au final à un prendre une invite de commande potentiellement en administrateur (et donc en root si on est malin).

Cet article présentera donc, comme je le souhaitais à la base, une analyse d’un point de vue attaquant du logiciel, de ses erreurs de conception ainsi que des recommandations pour les différents développeurs lisant mon blog pour éviter ce genre d’idiotie (car c’est bien de la bêtise à ce niveau).

De plus, cet article contiendra également des recommandations pour tous les utilisateurs de Cogilog pour boucher les trous le temps que l’éditeur daigne faire quelque chose.

À ce propos, j’ai contacté Cogilog le 18 novembre. Sans briser le secret des correspondances privées, les réponses apportées ne sont que des contournements non mis en avant dans la documentation et des fausses excuses semblant justifier le fait que, pour eux, l’urgence n’était pas là.

Continuer la lecture