Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Chrome : une extension AVG censée améliorer la sécurité laissait fuiter des données

Il est temps que 2015 se termine...
Internet 2 min
Chrome : une extension AVG censée améliorer la sécurité laissait fuiter des  données
Crédits : stokkete/iStock/Thinkstock

L'extension Chrome TuneUp Web de l'éditeur d'antivirus AVG est utilisée par près de 9 millions de personnes. Problème, elle contenait une importante faille de sécurité. Elle est désormais bouchée, mais Google continue d'enquêter.

Tavis Ormandy, un des membres de l'équipe Project Zero de Google, a récemment découvert une faille dans l'extension Chrome TuneUp Web de la société AVG. Elle propose une fonction Secure Search qui « indique les résultats de recherche non sécurisés afin que vous puissiez naviguer en toute sécurité et en toute confidentialité ». Au moment des faits, le 15 décembre 2015, son installation était « forcée » par l'éditeur et, selon les statistiques de Google, elle était présente chez près de 9 millions d'utilisateurs actifs.

Une faille ou un abus ? Tavis Ormandy se pose la question

Dans ses échanges avec les équipes d'AVG, le chercheur n'y va pas avec le dos de la cuillère : « L'extension est tellement cassée que je ne suis pas sûr de devoir vous signaler une vulnérabilité, ou bien demander à l'équipe qui s'occupe des abus d'enquêter ». Il ajoute en effet que le processus d'installation de l'extension est assez compliqué « afin qu'elle puisse contourner les vérifications des logiciels malveillants de Chrome, qui tente spécifiquement d'arrêter les abus des API ».

Tavis Ormandy explique que cette extension ajoute de nombreuses API JavaScript à Chrome, dont le but serait apparemment de détourner les paramètres de recherche d'ouverture d'un nouvel onglet. Problème, « la plupart des API sont cassées » et laissent ainsi la possibilité à des pirates de récupérer des cookies, l'historique de navigation ainsi que d'autres informations personnelles, sans plus de détails.

Tavis Ormandy ajoute qu'il ne serait pas surpris que cela puisse également permettre d'exécuter du code à distance. Bref, une situation des plus problématiques pour une extension dont le but est justement de proposer une sécurité supplémentaire à ses utilisateurs.

Deux correctifs plus tard, l'extension est désormais saine

Un premier correctif a été publié le 19 décembre, mais il n'était visiblement pas suffisant pour Tavis Ormandy qui a donc demandé à AVG de continuer de plancher sur ce problème. Le 20 décembre, une nouvelle mise à jour est envoyée, avec succès cette fois-ci. Elle est d'ailleurs intégrée dans la version 4.2.5.169 de l'extension TuneUp Web qui est disponible sur le Chrome Web Store.

Dans tous les cas, l'installation Inline de cette extension (qui permet de l'ajouter au navigateur d'un simple clic) est désactivée, le temps que l'équipe du Chrome Web Store enquête sur une possible violation des conditions d'utilisation.

21 commentaires
Avatar de Ricard INpactien
Avatar de RicardRicard- 31/12/15 à 13:03:29

AVG ? Quelqu'un utilise encore ça ?

Avatar de Aricko INpactien
Avatar de ArickoAricko- 31/12/15 à 13:09:44

Oui, nombre d'utilisateurs d'XP par exemple.

NB : @Sébastien, change ta photo ! Un collègue (qui ne fréquente pas NXI) passe derrière moi pendant que j'lisais l'article, et me sort : "Il n'respire pas la joie lui !" :smack:

Avatar de Patate95 INpactien
Avatar de Patate95Patate95- 31/12/15 à 13:16:44

Ricard a écrit :

AVG ? Quelqu'un utilise encore ça ?

Quel est le soucis avec AVG ?

Avatar de Ricard INpactien
Avatar de RicardRicard- 31/12/15 à 13:19:25

Aricko a écrit :

Oui, nombre d'utilisateurs d'XP par exemple.

NB : @Sébastien, change ta photo ! Un collègue (qui ne fréquente pas NXI) passe derrière moi pendant que j'lisais l'article, et me sort : "Il n'respire pas la joie lui !" :smack:

:mdr: :mdr::mdr::mdr: Manque plus que la pancarte avec les numéros et on croirait une garde à vue dans un mauvais polar américain.

Avatar de Ricard INpactien
Avatar de RicardRicard- 31/12/15 à 13:20:02

:D

Patate95 a écrit :

Quel est le soucis avec AVG ?

De toute évidence, rien.  Tout va bien. :D

Avatar de barlav Abonné
Avatar de barlavbarlav- 31/12/15 à 14:08:20

Il est temps que 2015 se termine...
J'ai l'explication!

Avatar de gathor Équipe
Avatar de gathorgathor- 31/12/15 à 14:11:41

Oui... :D Je vais mettre cela sur la liste des bonnes résolutions pour 2016 :transpi:

Avatar de kwak-kwak INpactien
Avatar de kwak-kwakkwak-kwak- 31/12/15 à 14:14:19

Aricko a écrit :

NB : @Sébastien, change ta photo ! Un collègue (qui ne fréquente pas NXI) passe derrière moi pendant que j'lisais l'article, et me sort : "Il n'respire pas la joie lui !" :smack:

C'est parce qu'il utilise Chrome et AVG :windu:

Édité par kwak-kwak le 31/12/2015 à 14:14
Avatar de Stel INpactien
Avatar de StelStel- 31/12/15 à 14:31:13

C'est pas mieux chez la concurence.
J'ai kaspersky sur mon pc, il ajoute automatiquement un script dans TOUTE les pages que vous visitez.

script type="text/javascript" src=&quothttp://ff.kis.scr.kaspersky-labs.com/1B74BD89-2A22-4B93-B451-1C9E2152A0EC/main.j... charset="UTF-8"

Nul ne sait ce qui est enregistré, au bon vouloir de kaspersky, c'est soit disant pour notre sécurité on nous dit.

Pas moyen de le désactiver dans les options, j'aurais pas payé cette merde pendant 2 ans je l'aurais déjà désinstallé.

Édité par Stel le 31/12/2015 à 14:32
Avatar de Stel INpactien
Avatar de StelStel- 31/12/15 à 14:37:56

Bon j'arrive pas à éditer mon message, la suite :

Ils sont au courant :

http://forum.kaspersky.com/lofiversion/index.php/t316466.html

Mais ils s'en foutent.

La plupart des gens ne le savent pas, et aucun site web n'en parle, perso je trouve ca grave, personne sais ce qu'ils peuvent bien enregistrer avec leur script.

Il n'est plus possible de commenter cette actualité.
Page 1 / 3