Disponibles sous Windows et macOS, Avast AntiTrack et AVG AntiTrack sont des logiciels qui protègent les utilisateurs contre les mouchards publicitaires. Ils s’appuient pour cela sur un proxy HTTPS, capable d’intercepter les flux Web chiffrés. Malheureusement, ce dispositif était tellement criblé de failles de sécurité, qu’un pirate pouvait assez aisément l’utiliser pour intercepter à son tour les flux Web et, notamment, voler des identifiants ou des jetons de session.
Il suffisait pour cela que le pirate soit capable de s’intercaler entre la machine de la victime et le site Web consulté, ce qui est faisable en créant de faux points d’accès Wi-Fi par exemple. En effet, les logiciels d’Avast et de sa filiale AVG non seulement ne vérifiaient pas la validité des certificats électroniques des sites Web, mais en plus ils autorisaient l’usage de protocoles de chiffrement désuets. Avast a été alerté en août 2019 et a corrigé ces failles début mars.
Source : Blog de David Eade
