Avast AntiTrack et AVG AntiTrack, deux proxy payants censés protéger la vie privée en ligne étaient en réalité criblées de failles. A tel point qu’un chercheur montre par A+B que l’utilisation de ces applications facilitent en réalité certains types de piratage.

Page d’accueil Avast / Crédits : Phonandroid

Vous utilisez la solution antipistage d’Avast ou AVG (AntiTrack) ? Il est sans doute pertinent de vous demander si votre abonnement à ces services de protection premium a réellement haussé la sécurité de votre ordinateur. Le chercheur en sécurité David Eade explique sur son blog comment ces programmes ont en réalité pu faciliter des attaques de type man-in-the-middle sur du trafic chiffré HTTPS. Le chercheur explique en effet que Avast et AVG Antitrack partagent le même code source. Ces applications fonctionnent en effet comme un proxy HTTPS par lequel tout le trafic internet transite, pour peu que vous ne l’activiez.

8 mois pour corriger la faille

Or, note le chercheur, le code de ces applications est criblé de failles. La première, c’est que Antitrack ne vérifie pas la validité des certificats présentés par le serveur cible. Ainsi, une attaque man-in-the-middle peut être menée avec une facilité déconcertante, en présentant de faux certificats. Par ailleurs Avast Antitrack downgrade le protocole de sécurité des navigateurs à TLS version 1.0 contre TLS 1.2 ou ultérieur. Enfin, à en croire le chercheur, ces applications forcent les navigateurs à utiliser des suites de chiffrement moins sécurisées que celles disponibles par défaut, par exemple dans Internet Explorer et Edge.

« Les conséquences sont difficiles à exagérer », note le chercheur, « un attaquant distant qui exécute un proxy malicieux pouvait capturer le trafic HTTPS de sa victime et exfiltrer ses identifiants pour un usage ultérieur. Lorsque le site utilise l’authentification double facteurs (ou un mot de passe à usage unique) l’attaquant peut toujours détourner la session en cours en clonant les cookies de session après authentification de la victime ». Les vulnérabilités ont été signalées une première fois le 7 août 2019, mais il a fallu attendre le 9 mars 2020 (8 mois !) pour que les applications Avast et AVG aient pu être patchées.

Lire également : Avast – l’antivirus gratuit vous espionne et revend les données à Google et Microsoft

Dans l’intervalle, on imagine que Avast et AVG ont tout de même facturé l’abonnement, qui est de 49,99 € par an pour Avast Antitrack ou de 39,99 € par an pour AVG Antitrack.

Source : David Eade (Blog) 



Réagissez à cet article !
Abonnez-vous gratuitement à la newsletter
Chaque semaine, le meilleur de Phonandroid dans votre boite mail !
Demandez nos derniers articles !
Huawei : Boris Johnson voudrait bannir le constructeur du Royaume-Uni

Huawei pourrait se voir bouté hors d’Angleterre. En effet, Boris Johnson, le premier ministre britannique, envisagerait d’interdire la société chinoise de participer à la mise en place des réseaux 5G. La Grande Bretagne se rangerait ainsi du côté des Etats-Unis….

Des chercheurs découvrent un moyen de pirater un PC depuis son ventilateur

Une équipe de chercheurs israélienne a développé une méthode pour exfiltrer des données d’un PC déconnecté grâce à une composante matérielle insoupçonnable : le ventilateur de la tour. Ce dernier émet des vibrations. Et si elles sont contrôlées, ces dernières peuvent…

Arnaque à la webcam : explosion des cas de chantage pendant le confinement

Le gouvernement alerte sur une augmentation significative des cas d’arnaque à la webcam. Des personnes malintentionnées multiplient les chantages en cette période de confinement, menaçant leurs victimes de divulguer un enregistrement vidéo qui les montre dans une position compromettante. La…