Chrome : une extension AVG censée améliorer la sécurité laissait fuiter des  données

Chrome : une extension AVG censée améliorer la sécurité laissait fuiter des données

Il est temps que 2015 se termine...

Avatar de l'auteur
Sébastien Gavois

Publié dans

Internet

31/12/2015 3 minutes
21

Chrome : une extension AVG censée améliorer la sécurité laissait fuiter des  données

L'extension Chrome TuneUp Web de l'éditeur d'antivirus AVG est utilisée par près de 9 millions de personnes. Problème, elle contenait une importante faille de sécurité. Elle est désormais bouchée, mais Google continue d'enquêter.

Tavis Ormandy, un des membres de l'équipe Project Zero de Google, a récemment découvert une faille dans l'extension Chrome TuneUp Web de la société AVG. Elle propose une fonction Secure Search qui « indique les résultats de recherche non sécurisés afin que vous puissiez naviguer en toute sécurité et en toute confidentialité ». Au moment des faits, le 15 décembre 2015, son installation était « forcée » par l'éditeur et, selon les statistiques de Google, elle était présente chez près de 9 millions d'utilisateurs actifs.

Une faille ou un abus ? Tavis Ormandy se pose la question

Dans ses échanges avec les équipes d'AVG, le chercheur n'y va pas avec le dos de la cuillère : « L'extension est tellement cassée que je ne suis pas sûr de devoir vous signaler une vulnérabilité, ou bien demander à l'équipe qui s'occupe des abus d'enquêter ». Il ajoute en effet que le processus d'installation de l'extension est assez compliqué « afin qu'elle puisse contourner les vérifications des logiciels malveillants de Chrome, qui tente spécifiquement d'arrêter les abus des API ».

Tavis Ormandy explique que cette extension ajoute de nombreuses API JavaScript à Chrome, dont le but serait apparemment de détourner les paramètres de recherche d'ouverture d'un nouvel onglet. Problème, « la plupart des API sont cassées » et laissent ainsi la possibilité à des pirates de récupérer des cookies, l'historique de navigation ainsi que d'autres informations personnelles, sans plus de détails.

Tavis Ormandy ajoute qu'il ne serait pas surpris que cela puisse également permettre d'exécuter du code à distance. Bref, une situation des plus problématiques pour une extension dont le but est justement de proposer une sécurité supplémentaire à ses utilisateurs.

Deux correctifs plus tard, l'extension est désormais saine

Un premier correctif a été publié le 19 décembre, mais il n'était visiblement pas suffisant pour Tavis Ormandy qui a donc demandé à AVG de continuer de plancher sur ce problème. Le 20 décembre, une nouvelle mise à jour est envoyée, avec succès cette fois-ci. Elle est d'ailleurs intégrée dans la version 4.2.5.169 de l'extension TuneUp Web qui est disponible sur le Chrome Web Store.

Dans tous les cas, l'installation Inline de cette extension (qui permet de l'ajouter au navigateur d'un simple clic) est désactivée, le temps que l'équipe du Chrome Web Store enquête sur une possible violation des conditions d'utilisation.

21

Écrit par Sébastien Gavois

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Une faille ou un abus ? Tavis Ormandy se pose la question

Deux correctifs plus tard, l'extension est désormais saine

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (21)


AVG ? Quelqu’un utilise encore ça ?


Oui, nombre d’utilisateurs d’XP par exemple.



NB : @Sébastien, change ta photo ! Un collègue (qui ne fréquente pas NXI) passe derrière moi pendant que j’lisais l’article, et me sort : “Il n’respire pas la joie lui !” <img data-src=" />








Ricard a écrit :



AVG ? Quelqu’un utilise encore ça ?





Quel est le soucis avec AVG ?









Aricko a écrit :



Oui, nombre d’utilisateurs d’XP par exemple.



NB : @Sébastien, change ta photo ! Un collègue (qui ne fréquente pas NXI) passe derrière moi pendant que j’lisais l’article, et me sort : “Il n’respire pas la joie lui !” <img data-src=" />





<img data-src=" /> <img data-src=" /><img data-src=" /><img data-src=" /> Manque plus que la pancarte avec les numéros et on croirait une garde à vue dans un mauvais polar américain.



<img data-src=" />







Patate95 a écrit :



Quel est le soucis avec AVG ?





De toute évidence, rien. &nbsp;Tout va bien. <img data-src=" />



Il est temps que 2015 se termine…

J’ai l’explication!


Oui… <img data-src=" /> Je vais mettre cela sur la liste des bonnes résolutions pour 2016&nbsp;<img data-src=" />








Aricko a écrit :



NB : @Sébastien, change ta photo ! Un collègue (qui ne fréquente pas NXI) passe derrière moi pendant que j’lisais l’article, et me sort : “Il n’respire pas la joie lui !” <img data-src=" />





C’est parce qu’il utilise Chrome et AVG <img data-src=" />



C’est pas mieux chez la concurence.

J’ai kaspersky sur mon pc, il ajoute automatiquement un script dans TOUTE les pages que vous visitez.



script type=“text/javascript” src=&quothttp://ff.kis.scr.kaspersky-labs.com/1B74BD89-2A22-4B93-B451-1C9E2152A0EC/main.j… charset=“UTF-8”



Nul ne sait ce qui est enregistré, au bon vouloir de kaspersky, c’est soit disant pour notre sécurité on nous dit.



Pas moyen de le désactiver dans les options, j’aurais pas payé cette merde pendant 2 ans je l’aurais déjà désinstallé.


Bon j’arrive pas à éditer mon message, la suite :



Ils sont au courant :



http://forum.kaspersky.com/lofiversion/index.php/t316466.html



Mais ils s’en foutent.



La plupart des gens ne le savent pas, et aucun site web n’en parle, perso je trouve ca grave, personne sais ce qu’ils peuvent bien enregistrer avec leur script.








Ricard a écrit :



AVG ? Quelqu’un utilise encore ça ?



AVAST ? Quelqu’un utilise encore ça ? Normalement non&nbsp;









Stel a écrit :



Bon j’arrive pas à éditer mon message, la suite :



Ils sont au courant :



http://forum.kaspersky.com/lofiversion/index.php/t316466.html



Mais ils s’en foutent.



La plupart des gens ne le savent pas, et aucun site web n’en parle, perso je trouve ca grave, personne sais ce qu’ils peuvent bien enregistrer avec leur script.





Sans antivirus, tu ne sais pas si tu as un environnement sain ou infecté.



Avec un antivirus, la question ne se pose plus.

L’antivirus rempli donc parfaitement son rôle en enlevant tout doute à ce sujet !



Ah merde ! Pas con ! Faut que j’pense à écrire la mienne !!!



… nan moi j’suis parfait… j’vais plutôt écrire celle de ma femme <img data-src=" />


Mon DIEU AVG… J’avais trouvé une offre sur Sharewareonsale qui me permettait d’avoir 12 mois gratuits sans rien faire, je l’ai laissé à peine 2 jours puis immédiatement désinstallé tellement c’était intrusif et peu performant, et je ne te parle pas des piètres options de configuration disponibles…



Je suis retourné sur Comodo Internet Security, qui est très personnalisable, performant surtout au niveau firewall, mais aussi gratuit ! En solution Internet Security je n’ai pas trouvé mieux que lui en gratuit, hormis Zone Alarm qui est d’une mocheté absolue…



<img data-src=" />


En général, tout ce qui comporte le mot TuneUp est à éviter !


En quoi Zone Alarm serait mieux que Comodo pour toi ?


Niveau firewall c’est très personnalisable et puissant.



Bonne année à toi, à tous, et à toute l’équipe de Next Inpact qui nous vend du rêve !



<img data-src=" />

:harou:








Ricard a écrit :



AVG ? Quelqu’un utilise encore ça ?





Moi j’utilise rien, c’est encore mieux.









KaKi87 a écrit :



Moi j’utilise rien, c’est encore mieux.





<img data-src=" />



Perso, je n’active jamais ces options moisies dans les antivirus.

J’installe un antivirus, je le désactive immédiatement, et je ne l’utilise QUE quand je souhaite scanner un truc DL.

Jamais été vérolé.



Ironie du sort, ma belle-mère a toujours eu des antivirus sur son PC fixe et son portable (Symantec norton, McAfee, etc)

Et a chaque période de Noel, je viens désinfecter ses machines vérolées jusqu’à la moelle (y compris sa tablette, qui affichait des popup de pub toutes les 2 minutes et qui détournait toutes ses recherches vers Ask ! )

&nbsp;

PS : C’est justement AVG que j’utilise, mais en version gratuite, et dans la version gratuite, ce module n’est pas installé. Et oui, il faut payer pour être vulnérable LOL

Vraiment des glandus quand même.


Utilise l’AVG Rescue CD ou ARL.

C’est une version bootable en clé USB et CD.

Il n’y a aucune installation nécessaire, et il se met à jour.