Un proxy mal configuré a permis d’intercepter le trafic https qui transitait par un serveur d’anti-traçage d’Avast. Voilà ce qui apparaît d’un rapport du chercheur Davide Eade. Avast a reconnu le bug.
Eade a appelé ce bug CVE-2020-8987. Cette faille permet à des hackers d’intercepter le trafic d’une victime via les mesures d’anti-traçage, destinées précisément à les en empêcher.
Le bug se trouve dans le logiciel AntiTrack d’Avast, qui établit des connexions web via un proxy pour veiller à ce que tous les ‘tracking cookies’ soient supprimés. L’AntiTrack ne contrôle cependant pas si les sites avec lesquels il établit une connexion pour ses utilisateurs, sont bien légitimes. Cela ouvre la porte à des attaques de type ‘man-in-the-middle’, selon Eade. Comme les certificats ne sont pas vérifiés, un pirate peut se faire passer pour le site demandé et orienter les requêtes vers un serveur factice en vue d’y collecter des logins et d’autres données par exemple.
La faille réside dans les versions AntiTrack tant d’Avast que d’AVG, ce qu’Avast a reconnu dans un communiqué, dans lequel elle remercie au passage Eade. Un correctif pour le bug a été entre-temps créé et envoyé. L’entreprise recommande une mise à jour dans les plus brefs délais.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici