AVG et son plugin Chrome qui expose les données utilisateur

AVG Web TuneUp

AVG est une solution bien connue, et plutôt appréciée, d'antivirus. Et comme nombre de logiciels de ce genre, la suite se décline en plusieurs petits outils, chacun ayant une vocation différente. AVG a ainsi son Web TuneUp, un plugin pour Google Chrome, censé accroître la sécurité durant votre navigation...

Malheureusement, un chercheur de chez Google a découvert que ledit plugin permettait à une personne malintentionnée de récupérer tout votre historique de navigation et de nombreuses données personnelles. Et quand on sait que son installation était (plus ou moins) forcée durant l’installation de la suite AVG, il y a de quoi s’inquiéter.

En cause, le fonctionnement même du plugin. Pour offrir une navigation plus sûre, le plugin envoie chaque URL aux serveurs d’AVG pour les comparer à sa base de données. Malheureusement, le processus était extrêmement vulnérable aux attaques XSS. Tavis Ormandy, le chercheur de Google Security qui a découvert la faille, était plutôt remonté contre AVG. Il écrivait ainsi : « L’extension est tellement mal construite que je ne sais pas si je dois vous signifier une simple vulnérabilité ou contacter l’équipe en charge des extensions pour enquête sur un PuP [un programme potentiellement non désiré]. En tout cas, je m’inquiète que votre logiciel de sécurité désactive le nôtre pour 9 millions d’utilisateurs de Chrome, apparemment pour que vous puissiez modifier les paramètres de recherche et la page ‘nouvel onglet’.« 

Après un premier correctif insuffisant, un deuxième a été publié il y a quelques jours. Et si l’extension n’est actuellement pas installable pour les nouveaux utilisateurs, ceux qui aurait AVG Web TuneUp déjà installé peuvent profiter de la mise à jour. Espérons que tout rentre dans l’ordre.

Tags :Via :Ars Technica

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Publicité