L'extension Chrome TuneUp Web de l'éditeur d'antivirus AVG est utilisée par près de 9 millions de personnes. Problème, elle contenait une importante faille de sécurité. Elle est désormais bouchée, mais Google continue d'enquêter.
Tavis Ormandy, un des membres de l'équipe Project Zero de Google, a récemment découvert une faille dans l'extension Chrome TuneUp Web de la société AVG. Elle propose une fonction Secure Search qui « indique les résultats de recherche non sécurisés afin que vous puissiez naviguer en toute sécurité et en toute confidentialité ». Au moment des faits, le 15 décembre 2015, son installation était « forcée » par l'éditeur et, selon les statistiques de Google, elle était présente chez près de 9 millions d'utilisateurs actifs.
Une faille ou un abus ? Tavis Ormandy se pose la question
Dans ses échanges avec les équipes d'AVG, le chercheur n'y va pas avec le dos de la cuillère : « L'extension est tellement cassée que je ne suis pas sûr de devoir vous signaler une vulnérabilité, ou bien demander à l'équipe qui s'occupe des abus d'enquêter ». Il ajoute en effet que le processus d'installation de l'extension est assez compliqué « afin qu'elle puisse contourner les vérifications des logiciels malveillants de Chrome, qui tente spécifiquement d'arrêter les abus des API ».
Tavis Ormandy explique que cette extension ajoute de nombreuses API JavaScript à Chrome, dont le but serait apparemment de détourner les paramètres de recherche d'ouverture d'un nouvel onglet. Problème, « la plupart des API sont cassées » et laissent ainsi la possibilité à des pirates de récupérer des cookies, l'historique de navigation ainsi que d'autres informations personnelles, sans plus de détails.
Tavis Ormandy ajoute qu'il ne serait pas surpris que cela puisse également permettre d'exécuter du code à distance. Bref, une situation des plus problématiques pour une extension dont le but est justement de proposer une sécurité supplémentaire à ses utilisateurs.
Deux correctifs plus tard, l'extension est désormais saine
Un premier correctif a été publié le 19 décembre, mais il n'était visiblement pas suffisant pour Tavis Ormandy qui a donc demandé à AVG de continuer de plancher sur ce problème. Le 20 décembre, une nouvelle mise à jour est envoyée, avec succès cette fois-ci. Elle est d'ailleurs intégrée dans la version 4.2.5.169 de l'extension TuneUp Web qui est disponible sur le Chrome Web Store.
Dans tous les cas, l'installation Inline de cette extension (qui permet de l'ajouter au navigateur d'un simple clic) est désactivée, le temps que l'équipe du Chrome Web Store enquête sur une possible violation des conditions d'utilisation.