Passer au contenu

Une faille béante dans l’antivirus Trend Micro rendait les PC 100% vulnérables

Il a fallu exactement 30 secondes aux chercheurs en sécurité de Google pour détecter une faille qui permet d’exécuter du code arbitraire à distance et voler tous les mots de passe des utilisateurs. Heureusement, un patch est disponible.

Ce n’est pas l’arroseur arrosé, c’est l’arroseur trempé jusqu’au cou en train de se noyer. Il y a quelques jours, le chercheur en sécurité Tavis Ormandy de Google a mis la main sur une énorme faille de sécurité dans l’antivirus Trend Micro, permettant de pirater à distance l’ordinateur sur lequel il était installé.

Depuis un site web, un pirate pouvait faire exécuter n’importe quel code sans que cela nécessite une interaction de la part de l’utilisateur. Par exemple : installer un malware, désinstaller l’antivirus, effacer le disque dur, etc. Il pouvait également récupérer en clair tous les identifiants web stockés par le gestionnaire de mots de passe de Trend Micro. Pour réaliser ces attaques, il suffisait que l’utilisateur clique sur un lien web piégé. C’est tout.

À lire : Une faille dans WhatsApp permettait de pirater aisément n’importe quel ordinateur

Le pire, c’est que cette faille n’était pas difficile à trouver. Tavis Ormandy explique avoir mis « exactement 30 secondes » pour réaliser une exécution de code arbitraire à distance. Le problème se trouve dans le gestionnaire de mots de passe de Trend Micro. Celui-ci est écrit en Javascript et acceptait librement tout un tas de requêtes au travers d’une interface de programmation (API) remarquablement mal écrite. Selon Tavis Ormandy, « près de 70 API » étaient accessibles depuis le web. Parmi elles figuraient, entre autres, la copie de la base de mots de passe ainsi que son déchiffrement à distance. Rarement un piratage n’aura été aussi simple !

Et ce n’est pas tout. Au passage, Tavis Ormandy découvre que le navigateur embarqué de Trend Micro, baptisé « Secure Browser », est en réalité une vieille version de Chromium (41) dans lequel le bac à sable – une fonction de sécurité de base dans les navigateurs – a été désactivé par défaut. « C’est la chose la plus ridicule que je n’ai jamais vue », souligne le chercheur en sécurité. Très poli dans ses répliques, l’éditeur Trend Micro a bien évidemment reconnu ses erreurs. Il vient de publier un patch qu’il est vivement conseillé de télécharger.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert KALLENBORN