Publicité en cours de chargement...

La rentrée se prépare : ChopChop pourrait bien enrichir le cartable du RSSI

19 août 2020 - 12:04,
Tribune - Charles Blanc-Rolin
La fin des vacances approche, l’heure est à l’achat des dernières fournitures scolaires, alors s’il  reste un peu de place entre la trousse et les cahiers dans votre cartable, je vous propose de l’enrichir avec ChopChop [1], un outil libre récemment partagé par le groupe Michelin sous licence Apache 2.0.

Non, le Bibendum Clermontois ne fait pas que des pneumatiques et des guides gastronomiques, il fait également de l’open source ! Et beaucoup, beaucoup d’autres choses...
Cet outil initialement développé en Python pour un besoin interne du CERT Michelin est disponible depuis le 22 juin sur le Github du groupe, dans une version revisitée en Go, le langage open source lancé par Google en 2009.

En 2016, lorsqu’il a rejoint le groupe auvergnat, Paul Amar [2], son auteur, était en charge de la sécurité du scope externe du groupe, soit environ 6000 domaines et 4000 applications Web et sites exposés sur Internet. Son besoin était de pouvoir contrôler rapidement et régulièrement le niveau de sécurité des applications et sites sans avoir d’accès privilégiés aux serveurs.Acteur impliqué de la communauté sécu et open source, Paul est notamment à l’origine du site cfptime.org qui permet de recenser les conférences sécu pour lesquelles un CFP [3] est ouvert.Paul a présenté le 7 août, aux côtés de Stanislas Molveau cet excellent projet lors d’une conférence pour le AppSec Village de la DEFCON 28 [4].

ChopChop est un outil simple d’utilisation, permettant d’auditer rapidement des sites et applications Web à la recherche de vulnérabilités. Il pourra permettre aux RSSI, même avec peu de connaissances techniques, de déceler de versions obsolètes de produits, des mauvaises pratiques, des erreurs de configuration ou encore une potentielle compromission d’un serveur Web.Il permet de scanner des machines aussi bien accessibles depuis Internet que depuis un réseau local, du CMS mal configuré à l’instance PhpMyAdmin qui ne devrait pas être accessible, en passant par des dispositifs médicaux exécutant un serveur Web obsolète ou encore un serveur hébergeant potentiellement un logiciel malveillant.

Il est également possible de scanner une liste d’URL à partir d’un fichier texte et d’exporter les résultats aux formats CSV ou JSON.

ChopChop est une expression provenant du cantonais et signifiant « dépêchez-vous ! », comme dépêchez-vous de patcher, dépêchez-vous de configurer correctement, bref, dépêchez-vous d’agir et de l’essayer !

Plusieurs règles de détection sont fournies avec l’outil, mais il est possible d’en ajouter « facilement ». Il est important de bien respecter le format YAML et surtout, de bien les tester ! La création de règles générant de faux positifs est très facile également !

Et si vous avez l’esprit de partage, vous pouvez bien évidemment effectuer des Pull Requests sur Github afin d’en faire profiter la communauté.

Bonne fin de vacances !


[1]

[2]

[3]

[4]  

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS

Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS

01 juil. 2025 - 00:00,

Actualité

- DSIH

La 13ᵉ édition du congrès APSSIS, qui s’est tenue en juin 2025, a une nouvelle fois confirmé sa place centrale dans l’écosystème de la cybersécurité en santé. Au fil de trois jours de conférences, de débats et de rencontres, RSSI, DPO, DSI, juristes et institutionnels ont croisé leurs expertises pou...

Illustration Le 8ème opus des guides cyber-résilience de l’APSSIS est en ligne !

Le 8ème opus des guides cyber-résilience de l’APSSIS est en ligne !

30 juin 2025 - 20:50,

Communiqué

- APSSIS

L’APSSIS a le plaisir d’annoncer la publication du 8ème opus des Guides Cyber-résilience à destination des professionnels du secteur. Conçus et élaborés par Cédric Cartau, ces guides se veulent à la fois accessibles, techniques et pratiques.

La cyber et les sacs de luxe

30 juin 2025 - 20:44,

Tribune

-
Cédric Cartau

C’est la fin du premier semestre, il est temps de faire un bilan à mi-course de l’année 2025. Et il s’en est passé, des choses, pas forcément douces et roses.

Illustration En direct du congrès APSSIS 2025 –– conférence sur l’histoire des malwares

En direct du congrès APSSIS 2025 –– conférence sur l’histoire des malwares

24 juin 2025 - 18:00,

Tribune

-
Cédric Cartau

Temps fort traditionnel, Michel Dubois nous a habitués à des conférences techniques sur des sujets pointus, telle l’histoire du chiffrement. Nous voilà donc embarqués dans l’histoire des malwares, et on part de loin : machine de Turing, théorie de l’informatique de la fin de la Seconde Guerre mondia...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.