Sécurité IT : des mots de passe se perdent chez Trend Micro

RisquesSécurité
trend-micro-password-manager

L’équipe Google Project Zero a dévoilé ses échanges avec Trend Micro au sujet de failles que l’éditeur a fini par corriger dans son gestionnaire de mots de passe.

Tavis Ormandy aura été impartial avec Trend Micro.

Appliquant la politique de l’équipe Google Project Zero pour laquelle il travaille, ce chercheur en sécurité a rendu publics ses échanges avec l’éditeur japonais autour de plusieurs failles détectées dans son logiciel Password Manager… et non corrigées 90 jours après leur signalement.

Disponible sur PC, Mac, iOS et Android, ce gestionnaire d’identifiants de connexion pour les sites Web est commercialisé à 9,95 euros TTC par an – sachant qu’il existe une offre gratuite pour stocker jusqu’à 5 mots de passe.

Il fonctionne officiellement avec Internet Explorer (9, 10 et 11), Safari (7.1, 8.0), ainsi que Chrome et Firefox (il est recommandé, pour ces deux navigateurs régulièrement mis à jour, d’utiliser une version suffisamment récente).

Password Manager est utilisable indépendamment des autres solutions Trend Micro. Toutefois, il s’installe en parallèle de certains produits de l’éditeur, typiquement l’antivirus pour Windows. Son lancement est automatique au démarrage.

Écrit en JavaScript essentiellement avec node.js, ce logiciel concurrent d’un LastPass, d’un Dashlane ou d’un 1Password ouvre de nombreux ports HTTP pour pouvoir accepter des requêtes API. Problème : certaines d’entre elles permettent à des tiers d’exécuter du code à distance, sans aucune intervention de l’utilisateur ciblé.

Au fil de son enquête, Tavis Ormandy a déniché près de 70 API vulnérables.

Pour illustrer ses trouvailles auprès de Trend Micro, il a d’abord utilisé la commande openUrlInDefaultBrowser, qui lui a permis de transmettre du code malveillant et de l’exécuter via ShellExecute().

Pour sa démonstration, il s’est contenté de lancer la calculatrice Windows en tant que processus dépendant de Password Manager. Tout en suggérant d’autres pistes, par exemple via une archive .zip contenant un fichier .hta, c’est-à-dire une application à base de HTML et d’autres langages pris en charge par les navigateurs Web.

Les équipes de Trend Micro s’y sont prises à plusieurs fois pour corriger leur produit. Elles ont d’abord désactivé ShellExecute(). Puis corrigé l’API showSB pour empêcher les commandes à distance… et les fuites de mots de passe qui pouvaient en résulter. Car c’était bien là le souci, d’autant plus qu’une autre API permettait de casser le chiffrement appliqué à ces mots de passe.

On peut théoriquement parler à l’imparfait, un patch étant diffusé depuis hier. Des doutes subsistent toutefois sur la réelle immunité de ce que Trend Micro présente comme un « coffre-fort chiffré » ; tout particulièrement face à des attaques provenant du même réseau local que la machine visée.

Crédit photo : deepadesigns – Shutterstock.com

Lire aussi :

Lire la biographie de l´auteur  Masquer la biographie de l´auteur