Publicité en cours de chargement...

Publicité en cours de chargement...

La rentrée se prépare : ChopChop pourrait bien enrichir le cartable du RSSI

19 août 2020 - 12:04,
Tribune - Charles Blanc-Rolin
La fin des vacances approche, l’heure est à l’achat des dernières fournitures scolaires, alors s’il  reste un peu de place entre la trousse et les cahiers dans votre cartable, je vous propose de l’enrichir avec ChopChop [1], un outil libre récemment partagé par le groupe Michelin sous licence Apache 2.0.

Non, le Bibendum Clermontois ne fait pas que des pneumatiques et des guides gastronomiques, il fait également de l’open source ! Et beaucoup, beaucoup d’autres choses...
Cet outil initialement développé en Python pour un besoin interne du CERT Michelin est disponible depuis le 22 juin sur le Github du groupe, dans une version revisitée en Go, le langage open source lancé par Google en 2009.

En 2016, lorsqu’il a rejoint le groupe auvergnat, Paul Amar [2], son auteur, était en charge de la sécurité du scope externe du groupe, soit environ 6000 domaines et 4000 applications Web et sites exposés sur Internet. Son besoin était de pouvoir contrôler rapidement et régulièrement le niveau de sécurité des applications et sites sans avoir d’accès privilégiés aux serveurs.Acteur impliqué de la communauté sécu et open source, Paul est notamment à l’origine du site cfptime.org qui permet de recenser les conférences sécu pour lesquelles un CFP [3] est ouvert.Paul a présenté le 7 août, aux côtés de Stanislas Molveau cet excellent projet lors d’une conférence pour le AppSec Village de la DEFCON 28 [4].

ChopChop est un outil simple d’utilisation, permettant d’auditer rapidement des sites et applications Web à la recherche de vulnérabilités. Il pourra permettre aux RSSI, même avec peu de connaissances techniques, de déceler de versions obsolètes de produits, des mauvaises pratiques, des erreurs de configuration ou encore une potentielle compromission d’un serveur Web.Il permet de scanner des machines aussi bien accessibles depuis Internet que depuis un réseau local, du CMS mal configuré à l’instance PhpMyAdmin qui ne devrait pas être accessible, en passant par des dispositifs médicaux exécutant un serveur Web obsolète ou encore un serveur hébergeant potentiellement un logiciel malveillant.

Il est également possible de scanner une liste d’URL à partir d’un fichier texte et d’exporter les résultats aux formats CSV ou JSON.

ChopChop est une expression provenant du cantonais et signifiant « dépêchez-vous ! », comme dépêchez-vous de patcher, dépêchez-vous de configurer correctement, bref, dépêchez-vous d’agir et de l’essayer !

Plusieurs règles de détection sont fournies avec l’outil, mais il est possible d’en ajouter « facilement ». Il est important de bien respecter le format YAML et surtout, de bien les tester ! La création de règles générant de faux positifs est très facile également !

Et si vous avez l’esprit de partage, vous pouvez bien évidemment effectuer des Pull Requests sur Github afin d’en faire profiter la communauté.

Bonne fin de vacances !


[1]

[2]

[3]

[4]  

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Dernier billet philosohico-cyber avant la plage

Dernier billet philosohico-cyber avant la plage

21 juil. 2025 - 10:00,

Tribune

-
Cédric Cartau

À l’approche des congés d’été, l’heure est à la réflexion — et pas seulement sur la température de l’eau ou le bon dosage de crème solaire. Entre arnaques bancaires de plus en plus sophistiquées, dérives technologiques, illusions cyber-industrielles et lacunes dans la gouvernance publique, ce billet...

Illustration Données de santé et intelligence artificielle : la France lance sa stratégie nationale pour accélérer l’innovation en santé

Données de santé et intelligence artificielle : la France lance sa stratégie nationale pour accélérer l’innovation en santé

07 juil. 2025 - 23:57,

Actualité

- DSIH

Le ministre chargé de la Santé et de l’Accès aux soins, Yannick Neuder, a réuni ce 1er juillet un Comité stratégique exceptionnel pour présenter les premières étapes de la stratégie nationale sur l’intelligence artificielle (IA) et l’utilisation secondaire des données de santé. Objectif : structurer...

Illustration Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS

Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS

01 juil. 2025 - 00:00,

Actualité

- DSIH

La 13ᵉ édition du congrès APSSIS, qui s’est tenue en juin 2025, a une nouvelle fois confirmé sa place centrale dans l’écosystème de la cybersécurité en santé. Au fil de trois jours de conférences, de débats et de rencontres, RSSI, DPO, DSI, juristes et institutionnels ont croisé leurs expertises pou...

Illustration Le 8ème opus des guides cyber-résilience de l’APSSIS est en ligne !

Le 8ème opus des guides cyber-résilience de l’APSSIS est en ligne !

30 juin 2025 - 20:50,

Communiqué

- APSSIS

L’APSSIS a le plaisir d’annoncer la publication du 8ème opus des Guides Cyber-résilience à destination des professionnels du secteur. Conçus et élaborés par Cédric Cartau, ces guides se veulent à la fois accessibles, techniques et pratiques.

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.