Lorsque nous installons un antivirus sur notre ordinateur ou notre téléphone portable, nous le faisons, en principe, pour nous protéger des menaces qui nous menacent via Internet . Cependant, il semble qu'en matière d'antivirus, tout ce qui brille n'est pas d'or non plus. Du moins dans le cas de Kaspersky, qui vient de sortir maintenant.
Depuis au moins quatre ans, les produits antivirus de Kaspersky Lab ont compromis la sécurité des clients qui les avaient installés. Comment? Eh bien, comme cela vient d'être publié, grâce à l' injection d'un code identifiant unique dans le HTML de chacune des pages Web que l'utilisateur a visitées. De cette manière, n'importe quel site pourrait identifier un utilisateur lorsqu'il utilise le mode navigation privée dans un navigateur ou lorsqu'il change de navigateur pour utiliser Chrome, Firefox ou Edge.
Les informations, publiées dans c't Magazine, révèlent que ce code était du JavaScript injecté par Kaspersky sur chaque page visitée par l'utilisateur. Cela a été utilisé pour entrer un code vert , qui représentait un lien sécurisé, renvoyé dans les résultats de recherche. C'était comme suit:
Un code à suivre, même en mode navigation privée
La personne responsable de cette découverte est Ronald Eikenberg, qui a trouvé le fameux JavasScript injecté par l'antivirus qu'il avait installé sur son ordinateur, de Kaspersky. Cela avait généré une étiquette unique - une sorte de code avec différents chiffres et lettres (en particulier 9344FDA7-AFDF-4BA0-A915-4D7EEB9A6615) - qui a été injectée dans chacune des pages visitées via le navigateur.
Cela s'est également produit avec n'importe quel navigateur. Il l'a testé avec Chrome, Firefox, Edge et Opera. Et le résultat était toujours le même. En fait, le code one-man a été injecté dans le html des pages même lorsqu'il est accédé depuis le navigateur en mode incognito. Ce même code est ce que les responsables de tout site Web pourraient utiliser s'ils voulaient le suivre en tant qu'utilisateur.
Kaspersky fonctionne ainsi depuis 4 ans
La vérité est que cela ne s'est pas produit depuis peu de temps. Rien n'est plus éloigné de la réalité. Kaspersky a introduit le célèbre identifiant à l'automne 2015 et après l'avertissement d'Eikenberg à l'entreprise elle-même, il a cessé de l'utiliser. Cela s'est produit en juin de cette année, donc Kaskpersy l'utilisait depuis près de quatre ans et dans toutes les versions d'antivirus pour Windows que la société a mises à la disposition des utilisateurs. Également dans les versions qui peuvent être téléchargées gratuitement et qui sont Kaspersky Internet Security et Kaspersky Total Security.
Le problème de sécurité a été identifié avec le code suivant CVE-2019-8286. Pour les experts, l'ajout d'un identifiant unique est une option totalement inutile, bien qu'il existe également d'autres systèmes qui peuvent aider à identifier l'utilisateur, tels que les cookies et les adresses IP . Quoi qu'il en soit, nous ne sommes pas confrontés à une option idéale pour préserver la confidentialité des utilisateurs.
De son côté, Kaspersky n'a pas tardé à faire une déclaration dans laquelle il reconnaît que les identifiants uniques ont été éliminés, après avoir été informés par le journaliste susmentionné, qu'ils remercient pour leur travail. Ils considèrent cependant que si les identifiants peuvent être utilisés pour identifier les utilisateurs, les cybercriminels sont peu susceptibles de suivre ces caractéristiques. D'une part parce que c'est une procédure complexe et d'autre part, parce qu'elle ne serait pas rentable.