Avast, AVG : leur protection contre le pistage criblée de failles pouvait servir à vous pirater

 

Avast AntiTrack et AVG AntiTrack, deux proxy payants censés protéger la vie privée en ligne étaient en réalité criblées de failles. A tel point qu'un chercheur montre par A+B que l'utilisation de ces applications facilitent en réalité certains types de piratage.

Page d'accueil Avast / Crédits : Phonandroid

Vous utilisez la solution antipistage d'Avast ou AVG (AntiTrack) ? Il est sans doute pertinent de vous demander si votre abonnement à ces services de protection premium a réellement haussé la sécurité de votre ordinateur. Le chercheur en sécurité David Eade explique sur son blog comment ces programmes ont en réalité pu faciliter des attaques de type man-in-the-middle sur du trafic chiffré HTTPS. Le chercheur explique en effet que Avast et AVG Antitrack partagent le même code source. Ces applications fonctionnent en effet comme un proxy HTTPS par lequel tout le trafic internet transite, pour peu que vous ne l'activiez.

8 mois pour corriger la faille

Or, note le chercheur, le code de ces applications est criblé de failles. La première, c'est que Antitrack ne vérifie pas la validité des certificats présentés par le serveur cible. Ainsi, une attaque man-in-the-middle peut être menée avec une facilité déconcertante, en présentant de faux certificats. Par ailleurs Avast Antitrack downgrade le protocole de sécurité des navigateurs à TLS version 1.0 contre TLS 1.2 ou ultérieur. Enfin, à en croire le chercheur, ces applications forcent les navigateurs à utiliser des suites de chiffrement moins sécurisées que celles disponibles par défaut, par exemple dans Internet Explorer et Edge.

“Les conséquences sont difficiles à exagérer”, note le chercheur, “un attaquant distant qui exécute un proxy malicieux pouvait capturer le trafic HTTPS de sa victime et exfiltrer ses identifiants pour un usage ultérieur. Lorsque le site utilise l'authentification double facteurs (ou un mot de passe à usage unique) l'attaquant peut toujours détourner la session en cours en clonant les cookies de session après authentification de la victime”. Les vulnérabilités ont été signalées une première fois le 7 août 2019, mais il a fallu attendre le 9 mars 2020 (8 mois !) pour que les applications Avast et AVG aient pu être patchées.

Lire également : Avast – l'antivirus gratuit vous espionne et revend les données à Google et Microsoft

Dans l'intervalle, on imagine que Avast et AVG ont tout de même facturé l'abonnement, qui est de 49,99 € par an pour Avast Antitrack ou de 39,99 € par an pour AVG Antitrack.

Source : David Eade (Blog) 



Abonnez-vous gratuitement à la newsletter
Chaque jour, le meilleur de Phonandroid dans votre boite mail !
Réagissez à cet article !
Demandez nos derniers articles !
top 200 pires mots passe 2020
Voici le top 200 des pires mots de passe de 2020

Le top 200 des pires mots de passe de l’année 2020 est désormais disponible. Comme tous les ans, l’indémodable 123456 arrive en tête du classement. Parmi les thématiques favorites des internautes, on trouve le divertissement, les grossièretés, les prénoms ou les suites de chiffres….

tesla powerwall faille
Tesla : une importante faille de sécurité menace les batteries Powerwall

Des chercheurs en sécurité informatique ont détecté une faille de sécurité importante dans le Tesla Backup Gateway, le système qui gère les connexions au réseau des Powerwall, les batteries de stockage d’énergie domestiques du constructeur. En 2015, Tesla a lancé…

carte sim arnaque
Elle se fait pirater sa carte SIM et perd 17 000 €

Un pirate a réussi à pirater la carte SIM d’une utilisatrice à de multiples reprises, interceptant à sa place les SMS de double authentification. Malgré de nombreuses tentatives pour stopper le processus, le hacker a réussi à voler 17 000…