Encore une fois, Google Zero affirme avoir découvert une faille majeure dans l’antivirus MalwareBytes. Google Zero a ainsi dévoilé en détail les informations liées à ces vulnérabilités. En fait, le délai de 90 jours a été dépassé sans que Malwarebytes n’ait pu intervenir à temps. Un cas encore inquiétant.
Les risques de faille planent toujours
Les failles dévoilées par Google Zero peuvent susciter de nouvelles craintes au moins chez les utilisateurs de l’application Happn. Et ces dangers ne seront pas encore corrigés d’ici peu. Des défaillances de sécurité ont été découvertes par le chercheur Tavais Ormandy, qui fait partie de l’équipe Project Zero de Google. Il a décelé des vulnérabilités de sécurité dans plusieurs programmes antivirus. MalwareBytes n’échappe donc pas aux failles. Après, Google Zero détaille les vulnérabilités découvertes sur MalwareBytes. En effet, 90 jours après le premier signalement à la société éditrice du logiciel, l’équipe de Google Zero dévoile les détails des vulnérabilités découvertes par ses chercheurs. Pour Malwarebytes, le délai n’était pas suffisant. Et cela parce que Google Zero publie aujourd’hui un post de blog détaillant des vulnérabilités déjà décelées en novembre 2015 dans le logiciel antivirus. Tavis Ormandy exposait, dans son post blog, des informations relatives à plusieurs vulnérabilités. Par conséquent, les mises à jour de MalwareBytes ne sont pas signées numériquement. D’après Tavis Ormandy, la recherche semble indiquer qu’un attaquant pourrait utiliser certains des processus à insérer leur propre code sur une machine ciblée. Cela entraine, évidemment, un risque d’insécurité important. Tout le monde est maintenant conscient de l’ampleur du problème et peut être tenté de les exploiter.
Des contre-mesures seront entreprises
Dans son post blog, Malwarebytes a réagi. Ormandy a exprimé ses regrets de ne pas avoir pu corriger à temps ces failles décelées par l’équipe de Google. Toutefois, il promet une solution. Il envisage un patch correctif sur la version 2.2.1 du logiciel, qui ne sera publiée qu’après 3 ou 4 semaines au plus tard. Ce délai demeure néanmoins assez inquiétant. De son côté, Marcin Kleczynski rassure que des contre-mesures sont envisageables pour les utilisateurs de Malwarebytes Premium. En revanche, les utilisateurs de la version gratuite devront encore patienter davantage pour ne plus souffrir de ces défaillances.
Malheureusement, l’« utilisateur » ne profite pas de ce luxe pour le moment. Sans perdre le fil, il saisit l’occasion pour lancer un programme de « Bug Bounty » sur les produits Malwarebytes. Le but étant de donner la possibilité aux chercheurs indépendants de communiquer les failles décelées sur les logiciels de l’éditeur. Pour avoir signalé ces vulnérabilités, ces personnes obtiendront des reconnaissances et des compensations. Ces récompenses vont de 100 à 1.000 dollars. Tavis Ormandy poursuit donc son combat contre les failles des antivirus. Inévitablement, Malwarebytes s’ajoute à la liste des logiciels exposés à ces vulnérabilités. L’enjeu est de taille, car la plupart des antivirus exigent des droits d’administration élevés pour fonctionner normalement. Ainsi, les failles critiques qui les concernent sont également risquées, pour le système visé.