Les logiciels antivirus proposent souvent un système de protection pour les navigateurs, surtout sur les sites bancaires et commerciaux. Mais sécuriser une navigation sur internet est plus difficile qu’il n’y parait. Comme en témoigne le navigateur Avastium de Avast, qui, au contraire, a exposé les ordinateurs des utilisateurs au vol de données.
Une faille qui provient d’une erreur de programmation
En modifiant le code open-source de Chromium (Google) pour créer Avastium, Avast a supprimé une protection qui a empêché un serveur Web d’accéder à distance aux fichiers locaux, mais pas à Internet, ou à exécuter des commandes locales sur le navigateur d’un client. Sans cette protection, les outils de développement de Chromium ont permis au serveur web de supprimer à distance le code JavaScript malveillant dans le navigateur d’un client.
Une fois qu’un site contenant un code malveillant, qui pourrait être intégré dans une annonce, iFrame ou plusieurs autres moyens, a été ouvert sur un PC dans lequel Avast est installé. Ainsi, une personne malveillante pourrait lancer le navigateur Avastium sur la machine cliente et l’utiliser pour parcourir les fichiers de l’ordinateur et obtenir les mots de passe, les relevés bancaires les lettres d’amour, les images privées et encore plus.
Les comptes Chrome sont en danger
Avec la plupart des navigateurs web, on peut parcourir et afficher les fichiers en entrant le chemin sur la barre d’adresse, mais normalement cette manipulation ne peut s’effectuer que sur le même ordinateur que le réseau. L’erreur d’Avast était qu’il permettait à Avastium de le faire sur Internet.
Étant donné qu’Avastium importe des profils d’utilisateurs de Chrome, lorsque le logiciel Avast est installé, tous les utilisateurs de Chrome sont vulnérables à l’attaque, et pas seulement ceux qui utilisent activement Avastium. Cette grosse faille a été découverte par Travis Ormand, un chercheur en matière de sécurité chez Google, qui a déjà découvert des failles sur d’autres antivirus, y compris AVG, Comodo, Malwarebytes et Trend Micro.