Des antivirus Trend Micro victimes de graves failles de sécurité
Même les solutions de sécurité informatique peuvent être affectées par des vulnérabilités, et mettre en danger ceux qui les utilisent pour se protéger. C'est ce qu'a révélé le chercheur spécialisé Tavis Ormandy, du Project Zero de Google. Le produit concerné est embarqué dans l'antivirus de Trend Micro (Maximum Security 10) : c'est un gestionnaire de mots de passe qui s'installe et se lance automatiquement par défaut.
Tavis Ormandy s'est dit "étonné" par la gravité de ce qu'il a découvert. Mordant, il s'est même permis de conseiller à Trend Micro "d'embaucher un spécialiste de la sécurité pour auditer son code", car il n'a pas trouvé une mais plusieurs failles critiques. Les pirates pouvaient en effet cibler les utilisateurs du produit Trend Micro pour exécuter du code malicieux sur leur machine, ou voir leurs mots de passe en clair.
Tous les échanges entre l'expert en sécurité et Trend Micro ont été postés sur un forum. Ils ont duré plusieurs jours, avant que le fournisseur ne mette au point et déploie un patch. Trend Micro affirme désormais que les vulnérabilités rapportées affectent une ancienne version, qui n'est plus disponible, de son gestionnaire de mots de passe.