Kaspersky Antivirus a aidé les sites internet à espionner leurs visiteurs depuis l'automne 2015 : lorsqu'installé sur une machine, l'antivirus injectait en effet un identifiant unique sur les pages web, identifiant que les propriétaires de sites pouvaient discrètement récupérer et associer à des données personnelles. Kaspersky a reconnu l'existence de cette faille sur pratiquement toutes ses éditions et propose un patch.

Les antivirus sont en général là pour préserver la santé de votre machine, mais ils ne sont pas toujours eux-mêmes exempts de failles. Un chroniqueur du magazine allemand Computer Technik a en effet fait une découverte étonnante : l'agent web de l'antivirus Kaspersky, qui analyse les sites et affiche une petite icône verte à côté des sites de confiance dans les résultats Google, injecte par la même occasion un identifiant unique dans le code HTML de toutes les pages web. Identifiant que les webmasters peuvent récupérer avec une facilité déconcertante et associer à des données personnelles sur leurs utilisateurs.

Comment Kaspersky Antivirus a aidé les sites à vous pister pendant des années

Or, contrairement aux cookies, il n'existait jusqu'à maintenant aucune solution simple pour se débarrasser de ce pistage en règle. Le chercheur montre ainsi que le bout de code injecté par Kaspersky sur toutes les pages web comporte une adresse https qui comporte bien un UUID – numéro de série servant d'identifiant unique. Il a également montré que ces numéros de série sont différents d'une machine à l'autre – mais ne changent pas même plusieurs jours plus tard sur une même machine. Histoire d'enfoncer le clou, il a montré à l'aide d'un serveur personnel qu'il était possible d'extraire discrètement cet identifiant à l'insu de l'internaute.

Et ce, même lorsque ce dernier est en mode “Incognito”, quel que soit le navigateur. Mais aussi d'y associer des données personnelles, comme les noms de ses collègues de travail dans son exemple. Kaspersky a rapidement réagi : ce qui est décrit par l'éditeur comme une “faille” a été introduit avec les éditions 2016 de l'antivirus (lancées en automne 2015) et touche toutes les versions grand public du logiciel, de la version gratuite à la version payante “Total Security”. Les éditions pro comme “Small Office Security” sont également touchées. Un patch est désormais disponible, patch qui rend cet identifiant identique chez tous les utilisateurs d'une édition donnée.

Lire également : Kaspersky – le Parlement européen affirme que l'antivirus russe est un logiciel malveillant

Kaspersky minimise la portée du problème : “une telle attaque [permise par cette faille, ndlr] serait trop complexe et peu profitable pour les cybercriminels, et a donc eu peut de chance d'être menée”. Reste que la solution proposée par Kaspersky ne satisfait pas encore totalement le chercheur. Celui-ci explique que des sites malveillants peuvent utiliser le nouvel identifiant pour déterminer si le visiteur a installé une version donnée de Kaspersky Antivirus. Et suggère deux manières d'en profiter : soit injecter un malware conçu pour ne pas être détecté par une version spécifique de Kaspersky, soit rediriger l'utilisateur vers une page classique de phishing du style : “votre abonnement à Kaspersky Antivirus a expiré, merci d'entrer votre numéro de carte bancaire”…

Source : Computer Technik