Pour gérer vos consentements :
Categories: RisquesSécurité

Sécurité IT : des mots de passe se perdent chez Trend Micro

Tavis Ormandy aura été impartial avec Trend Micro.

Appliquant la politique de l’équipe Google Project Zero pour laquelle il travaille, ce chercheur en sécurité a rendu publics ses échanges avec l’éditeur japonais autour de plusieurs failles détectées dans son logiciel Password Manager… et non corrigées 90 jours après leur signalement.

Disponible sur PC, Mac, iOS et Android, ce gestionnaire d’identifiants de connexion pour les sites Web est commercialisé à 9,95 euros TTC par an – sachant qu’il existe une offre gratuite pour stocker jusqu’à 5 mots de passe.

Il fonctionne officiellement avec Internet Explorer (9, 10 et 11), Safari (7.1, 8.0), ainsi que Chrome et Firefox (il est recommandé, pour ces deux navigateurs régulièrement mis à jour, d’utiliser une version suffisamment récente).

Password Manager est utilisable indépendamment des autres solutions Trend Micro. Toutefois, il s’installe en parallèle de certains produits de l’éditeur, typiquement l’antivirus pour Windows. Son lancement est automatique au démarrage.

Écrit en JavaScript essentiellement avec node.js, ce logiciel concurrent d’un LastPass, d’un Dashlane ou d’un 1Password ouvre de nombreux ports HTTP pour pouvoir accepter des requêtes API. Problème : certaines d’entre elles permettent à des tiers d’exécuter du code à distance, sans aucune intervention de l’utilisateur ciblé.

Au fil de son enquête, Tavis Ormandy a déniché près de 70 API vulnérables.

Pour illustrer ses trouvailles auprès de Trend Micro, il a d’abord utilisé la commande openUrlInDefaultBrowser, qui lui a permis de transmettre du code malveillant et de l’exécuter via ShellExecute().

Pour sa démonstration, il s’est contenté de lancer la calculatrice Windows en tant que processus dépendant de Password Manager. Tout en suggérant d’autres pistes, par exemple via une archive .zip contenant un fichier .hta, c’est-à-dire une application à base de HTML et d’autres langages pris en charge par les navigateurs Web.

Les équipes de Trend Micro s’y sont prises à plusieurs fois pour corriger leur produit. Elles ont d’abord désactivé ShellExecute(). Puis corrigé l’API showSB pour empêcher les commandes à distance… et les fuites de mots de passe qui pouvaient en résulter. Car c’était bien là le souci, d’autant plus qu’une autre API permettait de casser le chiffrement appliqué à ces mots de passe.

On peut théoriquement parler à l’imparfait, un patch étant diffusé depuis hier. Des doutes subsistent toutefois sur la réelle immunité de ce que Trend Micro présente comme un « coffre-fort chiffré » ; tout particulièrement face à des attaques provenant du même réseau local que la machine visée.

Crédit photo : deepadesigns – Shutterstock.com

Recent Posts

PC Copilot+ : une porte d’entrée vers l’ IA locale ?

Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…

2 semaines ago

PCIe 5.0 : La révolution des cartes-mères est-elle en marche ?

Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…

3 semaines ago

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 mois ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

3 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

3 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

4 mois ago