Chrome : une extension AVG censée améliorer la sécurité laissait fuiter des données
Il est temps que 2015 se termine...
Le 31 décembre 2015 à 13h00
3 min
Internet
Internet
L'extension Chrome TuneUp Web de l'éditeur d'antivirus AVG est utilisée par près de 9 millions de personnes. Problème, elle contenait une importante faille de sécurité. Elle est désormais bouchée, mais Google continue d'enquêter.
Tavis Ormandy, un des membres de l'équipe Project Zero de Google, a récemment découvert une faille dans l'extension Chrome TuneUp Web de la société AVG. Elle propose une fonction Secure Search qui « indique les résultats de recherche non sécurisés afin que vous puissiez naviguer en toute sécurité et en toute confidentialité ». Au moment des faits, le 15 décembre 2015, son installation était « forcée » par l'éditeur et, selon les statistiques de Google, elle était présente chez près de 9 millions d'utilisateurs actifs.
Une faille ou un abus ? Tavis Ormandy se pose la question
Dans ses échanges avec les équipes d'AVG, le chercheur n'y va pas avec le dos de la cuillère : « L'extension est tellement cassée que je ne suis pas sûr de devoir vous signaler une vulnérabilité, ou bien demander à l'équipe qui s'occupe des abus d'enquêter ». Il ajoute en effet que le processus d'installation de l'extension est assez compliqué « afin qu'elle puisse contourner les vérifications des logiciels malveillants de Chrome, qui tente spécifiquement d'arrêter les abus des API ».
Tavis Ormandy explique que cette extension ajoute de nombreuses API JavaScript à Chrome, dont le but serait apparemment de détourner les paramètres de recherche d'ouverture d'un nouvel onglet. Problème, « la plupart des API sont cassées » et laissent ainsi la possibilité à des pirates de récupérer des cookies, l'historique de navigation ainsi que d'autres informations personnelles, sans plus de détails.
Tavis Ormandy ajoute qu'il ne serait pas surpris que cela puisse également permettre d'exécuter du code à distance. Bref, une situation des plus problématiques pour une extension dont le but est justement de proposer une sécurité supplémentaire à ses utilisateurs.
Deux correctifs plus tard, l'extension est désormais saine
Un premier correctif a été publié le 19 décembre, mais il n'était visiblement pas suffisant pour Tavis Ormandy qui a donc demandé à AVG de continuer de plancher sur ce problème. Le 20 décembre, une nouvelle mise à jour est envoyée, avec succès cette fois-ci. Elle est d'ailleurs intégrée dans la version 4.2.5.169 de l'extension TuneUp Web qui est disponible sur le Chrome Web Store.
Dans tous les cas, l'installation Inline de cette extension (qui permet de l'ajouter au navigateur d'un simple clic) est désactivée, le temps que l'équipe du Chrome Web Store enquête sur une possible violation des conditions d'utilisation.
Chrome : une extension AVG censée améliorer la sécurité laissait fuiter des données
-
Une faille ou un abus ? Tavis Ormandy se pose la question
-
Deux correctifs plus tard, l'extension est désormais saine
Commentaires (21)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 31/12/2015 à 13h03
AVG ? Quelqu’un utilise encore ça ?
Le 31/12/2015 à 13h09
Oui, nombre d’utilisateurs d’XP par exemple.
" />
NB : @Sébastien, change ta photo ! Un collègue (qui ne fréquente pas NXI) passe derrière moi pendant que j’lisais l’article, et me sort : “Il n’respire pas la joie lui !”
Le 31/12/2015 à 13h16
Le 31/12/2015 à 13h19
Le 31/12/2015 à 13h20
Le 31/12/2015 à 14h08
Il est temps que 2015 se termine…
J’ai l’explication!
Le 31/12/2015 à 14h11
Oui…
" /> Je vais mettre cela sur la liste des bonnes résolutions pour 2016 
" />
Le 31/12/2015 à 14h14
Le 31/12/2015 à 14h31
C’est pas mieux chez la concurence.
J’ai kaspersky sur mon pc, il ajoute automatiquement un script dans TOUTE les pages que vous visitez.
script type=“text/javascript” src="http://ff.kis.scr.kaspersky-labs.com/1B74BD89-2A22-4B93-B451-1C9E2152A0EC/main.j… charset=“UTF-8”
Nul ne sait ce qui est enregistré, au bon vouloir de kaspersky, c’est soit disant pour notre sécurité on nous dit.
Pas moyen de le désactiver dans les options, j’aurais pas payé cette merde pendant 2 ans je l’aurais déjà désinstallé.
Le 31/12/2015 à 14h37
Bon j’arrive pas à éditer mon message, la suite :
Ils sont au courant :
http://forum.kaspersky.com/lofiversion/index.php/t316466.html
Mais ils s’en foutent.
La plupart des gens ne le savent pas, et aucun site web n’en parle, perso je trouve ca grave, personne sais ce qu’ils peuvent bien enregistrer avec leur script.
Le 31/12/2015 à 14h38
Le 31/12/2015 à 14h41
Le 31/12/2015 à 14h52
Ah merde ! Pas con ! Faut que j’pense à écrire la mienne !!!
" />
… nan moi j’suis parfait… j’vais plutôt écrire celle de ma femme
Le 31/12/2015 à 15h40
Mon DIEU AVG… J’avais trouvé une offre sur Sharewareonsale qui me permettait d’avoir 12 mois gratuits sans rien faire, je l’ai laissé à peine 2 jours puis immédiatement désinstallé tellement c’était intrusif et peu performant, et je ne te parle pas des piètres options de configuration disponibles…
" />
Je suis retourné sur Comodo Internet Security, qui est très personnalisable, performant surtout au niveau firewall, mais aussi gratuit ! En solution Internet Security je n’ai pas trouvé mieux que lui en gratuit, hormis Zone Alarm qui est d’une mocheté absolue…
Le 31/12/2015 à 16h27
En général, tout ce qui comporte le mot TuneUp est à éviter !
Le 31/12/2015 à 22h11
En quoi Zone Alarm serait mieux que Comodo pour toi ?
Le 31/12/2015 à 23h06
Niveau firewall c’est très personnalisable et puissant.
" />
Bonne année à toi, à tous, et à toute l’équipe de Next Inpact qui nous vend du rêve !
Le 01/01/2016 à 18h59
Le 01/01/2016 à 22h46
Le 02/01/2016 à 09h17
Perso, je n’active jamais ces options moisies dans les antivirus.
J’installe un antivirus, je le désactive immédiatement, et je ne l’utilise QUE quand je souhaite scanner un truc DL.
Jamais été vérolé.
Ironie du sort, ma belle-mère a toujours eu des antivirus sur son PC fixe et son portable (Symantec norton, McAfee, etc)
Et a chaque période de Noel, je viens désinfecter ses machines vérolées jusqu’à la moelle (y compris sa tablette, qui affichait des popup de pub toutes les 2 minutes et qui détournait toutes ses recherches vers Ask ! )
PS : C’est justement AVG que j’utilise, mais en version gratuite, et dans la version gratuite, ce module n’est pas installé. Et oui, il faut payer pour être vulnérable LOL
Vraiment des glandus quand même.
Le 03/01/2016 à 11h34
Utilise l’AVG Rescue CD ou ARL.
C’est une version bootable en clé USB et CD.
Il n’y a aucune installation nécessaire, et il se met à jour.