Un bug dans les produits Kaspersky pouvant être utilisé pour espionner. Est-ce vrai ?

20 Août 2019

Vous avez sans doute entendu dire que Kaspersky espionnait ou aidait d’autres personnes à espionner ses clients, et nous avons déjà répondu à ces accusations. Mais récemment, une nouvelle affaire a fait surface : Kaspersky est accusé d’exposer ses utilisateurs au pistage entre les sites. Levons le voile sur ce cas dans ce court article.

Que s’est-il passé ?

Ronald Eikenberg, journaliste pour le magazine c’t, rapporte que les produits Kaspersky destinés aux particuliers utilisaient des identifiants en scripts quand les utilisateurs visitaient des sites sur Internet et qu’ils auraient probablement pu être utilisés pour les identifier.

Le problème, nommé CVE-2019-8286, a atteint Kaspersky Internet Security 2019, Kaspersky Total Security 2019, Kaspersky Anti-Virus 2019, Kaspersky Small Office Security 6, and Kaspersky Free Antivirus 2019 ainsi que les versions antérieures de ces packs. Eikenberg nous a contactés et nous nous sommes assurés de régler ce problème : nous avons déployé un correctif pour chaque produit affecté en juin et un grand nombre de nos utilisateurs ont déjà mis à jour leurs produits.

Quel était le problème ?

Plus simplement, presque toutes les pages Internet qu’un utilisateur d’un produit Kaspersky charge, sont liées à un code qui, entre autre, contient un code unique de 32 caractères pour chacun d’entre eux. Ce code reste le même à travers toutes les pages pour un particulier.

Ceci pourrait potentiellement permettre aux propriétaires des sites qui hébergent ces pages de savoir si un utilisateur particulier des produits Kaspersky a visité un site ou un autre et, éventuellement, s’il le revisitera plus tard. Pour que cela fonctionne (et cela fonctionnerait, même anonymement) il faudrait cependant que les sites s’échangent des informations.

Est-ce que le problème est réglé maintenant ?

Oui, nous avons déployé un correctif le 7 juin 2019 pour régler ce problème. Tous les utilisateurs affectés l’ont reçu automatiquement, il n’y avait rien à faire de plus pour corriger ce bug. Il est déjà dans votre ordinateur s’il a été connecté à Internet depuis ce temps et si vous avez autorisé les mises à jour pour le produit.

Tous les produits Kaspersky mis à jour donnent aux utilisateurs le même ensemble d’identifiants. De cette façon, tout ce qu’ils révèlent est le type de produit utilisé, qu’il s’agisse de Kaspersky Anti-Virus, Kaspersky Internet Security ou autre. Ils ne sont pas uniques à chaque particulier et ne peuvent ainsi donc pas être utilisés pour les pister.

Pourquoi est-ce que cela s’est produit ?

Afin de détecter les potentiels scripts malicieux sur les pages web avant leur lancement, les produits Kaspersky injectent un code JavaScript dans la page pendant son chargement. Ce n’est pas une fonctionnalité propre aux produits Kaspersky : c’est ainsi que fonctionnent les antivirus sur Internet. Notre code JavaScript comprend cet identifiant qui était unique et qui désormais a changé pour être le même pour tous.

Pourquoi ce n’est pas un gros problème donc ?

Parfois, les médias amplifient les problèmes pour attirer l’attention. C’est justement ce qu’il s’est passé dans ce cas. En théorie, ce problème a de vraies potentielles conséquences. En voilà trois.

La première correspond à ce que nous avons décrit plus haut : les marketeurs pourraient théoriquement utiliser ces identifiants pour cibler les personnes visitant leur site web. Ceci dit, tout profil qu’ils auraient pu créer aurait été très limité. Il est beaucoup plus facile de se fier à de vrais systèmes de publicités comme ceux de Facebook ou de Google pour pister des utilisateurs et ces systèmes fournissent plus d’informations sur ceux-ci aux marketeurs. Et c’est ce que la majorité des propriétaires de sites web font. Il n’y a donc juste aucune raison d’utiliser les identifiants des solutions de sécurité dans ce but.

La seconde est qu’un malfaiteur pourrait collecter ces adresses et créer un logiciel malveillant ne visant que les utilisateurs des produits Kaspersky puis le développer à l’intérieur de ces derniers. Il en va de même pour tous les programmes qui changent le code de la page web du côté des utilisateurs. Ce scénario est très peu probable : un cybercriminel aurait besoin de non seulement créer un tel logiciel, mais en plus de cela il devrait aussi l’exécuter et le faire fonctionner. Il faudrait pour cela attirer l’utilisateur sur un site web malveillant, et nos antivirus anti-hameçonnage et Internet protègent les utilisateurs de ces sites.

La troisième : une base de données des visiteurs des sites Internet pourrait être utilisée pour l’hameçonnage. Il s’agit de la conséquence la plus raisonnable. Une fois de plus, cependant, ce serait un mauvais choix de la part d’un malfaiteur. Utiliser des informations disponibles publiquement ou des fuites récentes serait bien plus facile.

Dans tous les cas, personne n’a relevé d’activité malveillante abusant de ces identifiants uniques. Maintenant que le problème est réglé, il est trop tard pour les malfaiteurs pour s’y atteler.

Dès lors, dire que « Kaspersky autorise l’espionnage » est une affirmation exagérée. Il y avait un bug qui a possiblement permis dans des mesures limitées un très improbable pistage de la part d’un tiers, mais tout est réglé maintenant.

Qu’est-ce que je peux faire ?

Déployer un correctif est aussi facile que de laisser votre solution de sécurité se mettre à jour toute seule et nous vous le recommandons bien évidemment.

 

  • Vérifiez que votre solution de sécurité Kaspersky est à jour. Il est possible qu’elle le soit déjà, mais si ce n’est pas le cas, nous vous recommandons de le faire afin de vous protéger de façon optimale. Pour mettre à jour le produit, cliquez sur son icône dans la zone de notification et choisissez Mettre à jour depuis le menu. Les utilisateurs des versions 2020 des produits Kaspersky doivent le faire aussi ; les versions les plus récentes ont besoin d’un correctif pour régler ce problème.
  • Si vous vous inquiétez encore de savoir qu’un site web sait que vous utilisez une solution Kaspersky, désactivez l’exécution de scripts. Pour ce faire, allez dans Configuration, puis sur Paramètres du réseau. Décochez l’option Implanter dans le trafic le script d’interaction avec les pages Internet sous Traitement du trafic. Toutefois, gardez en mémoire que cette opération diminue votre niveau de protection, ce que nous ne vous recommandons pas.