Un chercheur en sécurité a découvert une faille critique dans l’antivirus Trend Micro et plus particulièrement dans son logiciel Password Manager.
Tavis Ormandy, un chercheur en sécurité de sécurité qui fait partie de l’équipe Google Zero, a découvert une faille critique dans l’antivirus de Trend Micro. Celle-ci permet non seulement aux pirates d’exécuter du code à distance mais également de voler tous les mots de passe des clients.
L’antivirus de Trend Micro dispose d’un gestionnaire de mots de passe appelé Password Manager, qui permet aux utilisateurs d’y ajouter leurs mots de passe couramment utiliser sur le Web. Le gestionnaire a été écrit en JavaScript et il ouvre plusieurs ports HTTP pour pouvoir accepter des requêtes API.
Le chercheur explique qu’il lui a fallu à peine 30 secondes pour en trouver un qui accepte l’exécution d’un code à distance, sans aucune manipulation de la part de l’utilisateur ciblé. Il a également découvert une API qui lui a permis d’accéder à des mots de passe destinés à être conservés en lieu sûr dans le gestionnaire de mots de passe. Au total, 70 API étaient accessibles depuis le web. Il a par ailleurs vivement conseillé à Trend Micro de faire appel à un consultant externe afin de s’assurer de la fiabilité de ses outils.
https://twitter.com/taviso/status/684489768218984448
Il a même publié ses échanges mails avec l’entreprise japonaise pour montrer sa frustration face à la situation. Car selon lui, la société n’a pas réagit assez vite pour corriger cette faille majeur. « J’espère vraiment que la gravité de cette situation est claire pour vous parce que je suis étonné de tout cela « , a-t-il écrit dans un de ces e-mails.
Trend Micro a depuis comblé les vulnérabilités critiques rapportées par Tavis Ormandy via un patch. Bien évidemment, il est vivement conseillé de le télécharger au plus vite.
