Les failles de sécurité sont aujourd’hui malheureusement monnaie courante. Mais quand ce problème touche un spécialiste de la cybersécurité, c’est particulièrement inquiétant ! C’est ce qui est arrivé à Avast, le célèbre antivirus tchèque, qui a mis en danger, sans le savoir ses 400 millions d’utilisateurs.
Le coupable : le moteur AvastSvc.exe
C’est Tavis Ormandy, chercheur spécialiste de la sécurité informatique et membre de l’équipe Projet Zero de Google, qui a trouvé le problème. Il a remarqué que le moteur AvastSvc.exe, qui analyse du code JavaScript avant son exécution par un navigateur ou une boite email, pouvait être utilisé pour exécuter du code malveillant. Comment ? Tout simplement parce que cet émulateur peut accéder à tout le système et n’est pas isolé des autres processus par un bac à sable. Ormandy est un habitué à ce genre de découverte. En 2017, il avait, avec la chercheuse Natalie Silvanovich, trouvé une vulnérabilité similaire dans Windows Defender.
Une faille qui permettait la prise à contrôle à distance des machines équipées d’Avast
La défaillance du moteur JavaScript d’Avast offrait une porte d’entrée de choix aux cybercriminels. Ceux-ci auraient pu piéger les internautes en les poussant à ouvrir une pièce jointe d’email ou à accéder à un site web contenant du code malveillant et en installant un malware sur leur ordinateur. À cause de cette faille de sécurité informatique, il était ainsi possible de prendre contrôle à distance d’une machine sans trop de difficultés. Un comble pour un antivirus ! Heureusement, aucun hacker ne semble avoir profité de cette défaillance.
Avast réagit
Le 4 mars 2020, Ormandy prévient Avast de l’existence de la faille. Cinq jours plus tard, la firme tchèque n’a toujours pas réagi. Pour faire pression sur Avast, Ormandy publie alors l’outil qu’il a créé pour permettre aux utilisateurs d’analyser l’émulateur JavaScript. Le 11 mars, Avast désactive le moteur JavaScript de son antivirus, ce qui n’affecte pas son fonctionnement. La société n’a toujours pas publié de correctif de sécurité et on se demande, de fait, quelle était l’utilité réelle de AvastSvc.exe, si ce module peut être désactivé sans entraver l’efficacité de l’antivirus.
Cette mésaventure est le deuxième coup dur de l’année pour Avast. En janvier dernier, il a été révélé que sa filiale marketing Jumpshop récoltait et revendait les informations personnelles de ses utilisateurs à des tiers.