Avast 2015 : grosse faille de (votre) sécurité | //_EDGE.sec
mercredi 18 mars 2015 à 21:30GuiGui's Show - Liens 18/03/2015
« Avast ferait-il du MITM (pour Man In The Middle, une forme d’attaque informatique) depuis quelques temps ?
Car oui, depuis quelques jours, consciencieuse comme je suis, j’avais mis à jour ma version d’Avast. Bien sûr comme à chaque fois, pas de patch-notes complètes, à part un rapide coup d’oeil sur les dernières features (et encore, seulement pour faire de la pub pour la version payante).
Ainsi donc, après ma découverte sur linuxfr.org, je décide de vérifier les autre sites. Résultat ?
Et oui, on ne le dira jamais assez : le cadenas ne suffit pas ! Vérifier le certif aussi est important. preuve en est : depuis 2-3 jours avec Avast 2015, je ne remonte le souci qu’après avoir dû vérif un certif, autrement… ceci me serait passé totalement inaperçu.
Avast pratique donc du déchiffrement SSL sur tout le trafic https de votre machine, ce qui est une faille importante de sécurité à mes yeux (et surtout de confiance).
Un MITM (Man in the Middle) consiste à s’introduire sur le réseau, de manière dérobée, entre 2 correspondants (basiquement Alice et Bob pour les connaisseurs). L’attaquant se fera donc passer pour Alice auprès de Bob et inversement, il se fera passer pour Bob auprès d’Alice :
Dans le cas d’un déchiffrement SSL sur votre machine, cela permet à Avast de :
- intercepter toutes vos données (voire plus) transitant par votre navigateur depuis les sites web (comment vérifier si il ne le fera pas ? Impossible de savoir…)
- avoir vos infos en clair à un moment ou à un autre (données sensibles s’abstenir)
- Rendre inutile l’utilisation du cadenas : comment savoir que je parle bien à ma banque par exemple ? Avast m’empêche d’avoir accès au certif original et donc de vérifier l’info.
- Introduire en local une faille critique : un spyware présent sur votre machine ou votre réseau local pourrait très bien avoir accès à ces flux déchiffrés, et donc être au même niveau qu’Avast en ce qui concerne les droits sur vos données persos car, rappelons-le, un AV du calibre d’Avast a un accès limite root sur votre machine.
Notez d’ailleurs qu’Avast fait de même pour les mails : cette « feature » est également active par défaut pour les mails qui transitent via SMTP avec SSL.
[...]
Heureusement il existe une solution rapide à cela. Avast vous permet d’enlever d’un click ces 2 protections, dans les paramètres de votre antivirus (section Agent Web et Agent Mail) »
Via http://seenthis.net/messages/351006
(Permalink)
Favoris de Chassegnouf 19/03/2015
(Permalink)
« Avast ferait-il du MITM (pour Man In The Middle, une forme d’attaque informatique) depuis quelques temps ?
Car oui, depuis quelques jours, consciencieuse comme je suis, j’avais mis à jour ma version d’Avast. Bien sûr comme à chaque fois, pas de patch-notes complètes, à part un rapide coup d’oeil sur les dernières features (et encore, seulement pour faire de la pub pour la version payante).
Ainsi donc, après ma découverte sur linuxfr.org, je décide de vérifier les autre sites. Résultat ?
Et oui, on ne le dira jamais assez : le cadenas ne suffit pas ! Vérifier le certif aussi est important. preuve en est : depuis 2-3 jours avec Avast 2015, je ne remonte le souci qu’après avoir dû vérif un certif, autrement… ceci me serait passé totalement inaperçu.
Avast pratique donc du déchiffrement SSL sur tout le trafic https de votre machine, ce qui est une faille importante de sécurité à mes yeux (et surtout de confiance).
Un MITM (Man in the Middle) consiste à s’introduire sur le réseau, de manière dérobée, entre 2 correspondants (basiquement Alice et Bob pour les connaisseurs). L’attaquant se fera donc passer pour Alice auprès de Bob et inversement, il se fera passer pour Bob auprès d’Alice :
Dans le cas d’un déchiffrement SSL sur votre machine, cela permet à Avast de :
- intercepter toutes vos données (voire plus) transitant par votre navigateur depuis les sites web (comment vérifier si il ne le fera pas ? Impossible de savoir…)
- avoir vos infos en clair à un moment ou à un autre (données sensibles s’abstenir)
- Rendre inutile l’utilisation du cadenas : comment savoir que je parle bien à ma banque par exemple ? Avast m’empêche d’avoir accès au certif original et donc de vérifier l’info.
- Introduire en local une faille critique : un spyware présent sur votre machine ou votre réseau local pourrait très bien avoir accès à ces flux déchiffrés, et donc être au même niveau qu’Avast en ce qui concerne les droits sur vos données persos car, rappelons-le, un AV du calibre d’Avast a un accès limite root sur votre machine.
Notez d’ailleurs qu’Avast fait de même pour les mails : cette « feature » est également active par défaut pour les mails qui transitent via SMTP avec SSL.
[...]
Heureusement il existe une solution rapide à cela. Avast vous permet d’enlever d’un click ces 2 protections, dans les paramètres de votre antivirus (section Agent Web et Agent Mail) »
Via http://seenthis.net/messages/351006
(Permalink)
Favoris de Chassegnouf 19/03/2015
(Permalink)