Passer au contenu

Une faille béante dans l’antivirus Trend Micro rendait les PC 100% vulnérables

Il a fallu exactement 30 secondes aux chercheurs en sécurité de Google pour détecter une faille qui permet d’exécuter du code arbitraire à distance et voler tous les mots de passe des utilisateurs. Heureusement, un patch est disponible.

Ce n’est pas l’arroseur arrosé, c’est l’arroseur trempé jusqu’au cou en train de se noyer. Il y a quelques jours, le chercheur en sécurité Tavis Ormandy de Google a mis la main sur une énorme faille de sécurité dans l’antivirus Trend Micro, permettant de pirater à distance l’ordinateur sur lequel il était installé.

Depuis un site web, un pirate pouvait faire exécuter n’importe quel code sans que cela nécessite une interaction de la part de l’utilisateur. Par exemple : installer un malware, désinstaller l’antivirus, effacer le disque dur, etc. Il pouvait également récupérer en clair tous les identifiants web stockés par le gestionnaire de mots de passe de Trend Micro. Pour réaliser ces attaques, il suffisait que l’utilisateur clique sur un lien web piégé. C’est tout.

À lire : Une faille dans WhatsApp permettait de pirater aisément n’importe quel ordinateur

Le pire, c’est que cette faille n’était pas difficile à trouver. Tavis Ormandy explique avoir mis « exactement 30 secondes » pour réaliser une exécution de code arbitraire à distance. Le problème se trouve dans le gestionnaire de mots de passe de Trend Micro. Celui-ci est écrit en Javascript et acceptait librement tout un tas de requêtes au travers d’une interface de programmation (API) remarquablement mal écrite. Selon Tavis Ormandy, « près de 70 API » étaient accessibles depuis le web. Parmi elles figuraient, entre autres, la copie de la base de mots de passe ainsi que son déchiffrement à distance. Rarement un piratage n’aura été aussi simple !

Et ce n’est pas tout. Au passage, Tavis Ormandy découvre que le navigateur embarqué de Trend Micro, baptisé « Secure Browser », est en réalité une vieille version de Chromium (41) dans lequel le bac à sable – une fonction de sécurité de base dans les navigateurs – a été désactivé par défaut. « C’est la chose la plus ridicule que je n’ai jamais vue », souligne le chercheur en sécurité. Très poli dans ses répliques, l’éditeur Trend Micro a bien évidemment reconnu ses erreurs. Il vient de publier un patch qu’il est vivement conseillé de télécharger.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Gilbert KALLENBORN
Les dernières actualités
Tv Lg C4 83 Pouces
Black Friday : restez assis, vous allez tomber en voyant le prix de cette TV OLED LG de 210 cm 😱
Bon plan pCloud
Black Friday pCloud : son pack 3 en 1 à -62% qui met KO la concurrence
Philips Airfryer 2000
Cuisinez en toute simplicité avec le Philips Air Fryer, cédé pour le prix d’un resto au Black Friday
MSI Thin 15 B13VF-2679FR
MSI Thin 15 : ce PC gamer de dingue qu’Amazon dégomme au Black Friday (-43%)
Projecteur Xgimi Elfin Flip
Pas plus épais qu’un bouquin, ce vidéoprojecteur est la belle surprise de Black Friday (-25%)
Asus Vivobook S15 S1504ZA-NJ912W
Asus VivoBook S15 : à -39%, il mérite de devenir votre prochain PC portable
Galaxy Watch 6 Classic
Oubliez l’Apple Watch, sa rivale la Samsung Galaxy Watch6 Classic est à -40% au Black Friday
Plex Nouvelle App
Plex réinvente son application pour lever la confusion entre contenu personnel et streaming gratuit
Top téléchargements