Avast, AVG : leur protection contre le pistage criblée de failles pouvait servir à vous pirater

Avast AntiTrack et AVG AntiTrack, deux proxy payants censés protéger la vie privée en ligne étaient en réalité criblées de failles. A tel point qu'un chercheur montre par A+B que l'utilisation de ces applications facilitent en réalité certains types de piratage.

Vous utilisez la solution antipistage d'Avast ou AVG (AntiTrack) ? Il est sans doute pertinent de vous demander si votre abonnement à ces services de protection premium a réellement haussé la sécurité de votre ordinateur. Le chercheur en sécurité David Eade explique sur son blog comment ces programmes ont en réalité pu faciliter des attaques de type man-in-the-middle sur du trafic chiffré HTTPS. Le chercheur explique en effet que Avast et AVG Antitrack partagent le même code source. Ces applications fonctionnent en effet comme un proxy HTTPS par lequel tout le trafic internet transite, pour peu que vous ne l'activiez.

8 mois pour corriger la faille

Or, note le chercheur, le code de ces applications est criblé de failles. La première, c'est que Antitrack ne vérifie pas la validité des certificats présentés par le serveur cible. Ainsi, une attaque man-in-the-middle peut être menée avec une facilité déconcertante, en présentant de faux certificats. Par ailleurs Avast Antitrack downgrade le protocole de sécurité des navigateurs à TLS version 1.0 contre TLS 1.2 ou ultérieur. Enfin, à en croire le chercheur, ces applications forcent les navigateurs à utiliser des suites de chiffrement moins sécurisées que celles disponibles par défaut, par exemple dans Internet Explorer et Edge.

“Les conséquences sont difficiles à exagérer”, note le chercheur, “un attaquant distant qui exécute un proxy malicieux pouvait capturer le trafic HTTPS de sa victime et exfiltrer ses identifiants pour un usage ultérieur. Lorsque le site utilise l'authentification double facteurs (ou un mot de passe à usage unique) l'attaquant peut toujours détourner la session en cours en clonant les cookies de session après authentification de la victime”. Les vulnérabilités ont été signalées une première fois le 7 août 2019, mais il a fallu attendre le 9 mars 2020 (8 mois !) pour que les applications Avast et AVG aient pu être patchées.

Lire également : Avast – l'antivirus gratuit vous espionne et revend les données à Google et Microsoft

Dans l'intervalle, on imagine que Avast et AVG ont tout de même facturé l'abonnement, qui est de 49,99 € par an pour Avast Antitrack ou de 39,99 € par an pour AVG Antitrack.

Source : David Eade (Blog)