La rentrée se prépare : ChopChop pourrait bien enrichir le cartable du RSSI
Non, le Bibendum Clermontois ne fait pas que des pneumatiques et des guides gastronomiques, il fait également de l’open source ! Et beaucoup, beaucoup d’autres choses...
Cet outil initialement développé en Python pour un besoin interne du CERT Michelin est disponible depuis le 22 juin sur le Github du groupe, dans une version revisitée en Go, le langage open source lancé par Google en 2009.
En 2016, lorsqu’il a rejoint le groupe auvergnat, Paul Amar [2], son auteur, était en charge de la sécurité du scope externe du groupe, soit environ 6000 domaines et 4000 applications Web et sites exposés sur Internet. Son besoin était de pouvoir contrôler rapidement et régulièrement le niveau de sécurité des applications et sites sans avoir d’accès privilégiés aux serveurs.Acteur impliqué de la communauté sécu et open source, Paul est notamment à l’origine du site cfptime.org qui permet de recenser les conférences sécu pour lesquelles un CFP [3] est ouvert.Paul a présenté le 7 août, aux côtés de Stanislas Molveau cet excellent projet lors d’une conférence pour le AppSec Village de la DEFCON 28 [4].
ChopChop est un outil simple d’utilisation, permettant d’auditer rapidement des sites et applications Web à la recherche de vulnérabilités. Il pourra permettre aux RSSI, même avec peu de connaissances techniques, de déceler de versions obsolètes de produits, des mauvaises pratiques, des erreurs de configuration ou encore une potentielle compromission d’un serveur Web.Il permet de scanner des machines aussi bien accessibles depuis Internet que depuis un réseau local, du CMS mal configuré à l’instance PhpMyAdmin qui ne devrait pas être accessible, en passant par des dispositifs médicaux exécutant un serveur Web obsolète ou encore un serveur hébergeant potentiellement un logiciel malveillant.
Il est également possible de scanner une liste d’URL à partir d’un fichier texte et d’exporter les résultats aux formats CSV ou JSON.
ChopChop est une expression provenant du cantonais et signifiant « dépêchez-vous ! », comme dépêchez-vous de patcher, dépêchez-vous de configurer correctement, bref, dépêchez-vous d’agir et de l’essayer !
Plusieurs règles de détection sont fournies avec l’outil, mais il est possible d’en ajouter « facilement ». Il est important de bien respecter le format YAML et surtout, de bien les tester ! La création de règles générant de faux positifs est très facile également !
Et si vous avez l’esprit de partage, vous pouvez bien évidemment effectuer des Pull Requests sur Github afin d’en faire profiter la communauté.
Bonne fin de vacances !
[1]
[2]
[3]
[4]
Avez-vous apprécié ce contenu ?
A lire également.
Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS
01 juil. 2025 - 00:00,
Actualité
- DSIHLa 13ᵉ édition du congrès APSSIS, qui s’est tenue en juin 2025, a une nouvelle fois confirmé sa place centrale dans l’écosystème de la cybersécurité en santé. Au fil de trois jours de conférences, de débats et de rencontres, RSSI, DPO, DSI, juristes et institutionnels ont croisé leurs expertises pou...
Le 8ème opus des guides cyber-résilience de l’APSSIS est en ligne !
30 juin 2025 - 20:50,
Communiqué
- APSSISL’APSSIS a le plaisir d’annoncer la publication du 8ème opus des Guides Cyber-résilience à destination des professionnels du secteur. Conçus et élaborés par Cédric Cartau, ces guides se veulent à la fois accessibles, techniques et pratiques.
La cyber et les sacs de luxe
30 juin 2025 - 20:44,
Tribune
-C’est la fin du premier semestre, il est temps de faire un bilan à mi-course de l’année 2025. Et il s’en est passé, des choses, pas forcément douces et roses.
En direct du congrès APSSIS 2025 –– conférence sur l’histoire des malwares
24 juin 2025 - 18:00,
Tribune
-Temps fort traditionnel, Michel Dubois nous a habitués à des conférences techniques sur des sujets pointus, telle l’histoire du chiffrement. Nous voilà donc embarqués dans l’histoire des malwares, et on part de loin : machine de Turing, théorie de l’informatique de la fin de la Seconde Guerre mondia...
