Ce n’est pas l’arroseur arrosé, c’est l’arroseur trempé jusqu’au cou en train de se noyer. Il y a quelques jours, le chercheur en sécurité Tavis Ormandy de Google a mis la main sur une énorme faille de sécurité dans l’antivirus Trend Micro, permettant de pirater à distance l’ordinateur sur lequel il était installé.
Depuis un site web, un pirate pouvait faire exécuter n’importe quel code sans que cela nécessite une interaction de la part de l’utilisateur. Par exemple : installer un malware, désinstaller l’antivirus, effacer le disque dur, etc. Il pouvait également récupérer en clair tous les identifiants web stockés par le gestionnaire de mots de passe de Trend Micro. Pour réaliser ces attaques, il suffisait que l’utilisateur clique sur un lien web piégé. C’est tout.
Le pire, c’est que cette faille n’était pas difficile à trouver. Tavis Ormandy explique avoir mis « exactement 30 secondes » pour réaliser une exécution de code arbitraire à distance. Le problème se trouve dans le gestionnaire de mots de passe de Trend Micro. Celui-ci est écrit en Javascript et acceptait librement tout un tas de requêtes au travers d’une interface de programmation (API) remarquablement mal écrite. Selon Tavis Ormandy, « près de 70 API » étaient accessibles depuis le web. Parmi elles figuraient, entre autres, la copie de la base de mots de passe ainsi que son déchiffrement à distance. Rarement un piratage n’aura été aussi simple !
https://twitter.com/taviso/status/684489768218984448
Et ce n’est pas tout. Au passage, Tavis Ormandy découvre que le navigateur embarqué de Trend Micro, baptisé « Secure Browser », est en réalité une vieille version de Chromium (41) dans lequel le bac à sable – une fonction de sécurité de base dans les navigateurs – a été désactivé par défaut. « C’est la chose la plus ridicule que je n’ai jamais vue », souligne le chercheur en sécurité. Très poli dans ses répliques, l’éditeur Trend Micro a bien évidemment reconnu ses erreurs. Il vient de publier un patch qu’il est vivement conseillé de télécharger.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.