Les solutions antivirus de Kaspersky ont injecté dans les pages Web visitées par ses utilisateurs un numéro d'identification unique pour chaque système. Cela a commencé à la fin de 2015 et pourrait être utilisé pour suivre les intérêts de navigation d'un utilisateur.Les versions du produit antivirus, payantes et gratuites, jusqu'en 2019, affichent ce comportement qui permet le suivi quel que soit le navigateur Web utilisé, même lorsque les utilisateurs démarrent des sessions privées.
Signalé par Ronald Eikenberg, le problème était qu'un code JavaScript provenant d'un serveur Kaspersky était chargé à partir d'une adresse contenant un identifiant unique pour chaque utilisateur.
| Code JavaScript : | Sélectionner tout |
<script type="text/javascript" src="https://gc.kis.v2.scr.kaspersky-labs.com/9344FDA7-AFDF-4BA0-A915-4D7EEB9A6615/main.js" charset="UTF-8"></script>
Les scripts d’un site Web peuvent lire la source HTML et obtenir l’identifiant de Kaspersky, que Eikenberg a déterminé à rester inchangé sur le système.
« En d'autres termes, tout site Web peut lire l'identifiant Kaspersky de l'utilisateur et l'utiliser pour le suivi. Si le même identificateur universellement unique revient ou apparaît sur un autre site Web du même opérateur, il peut voir que le même ordinateur est utilisé ».
Le but du script est parfaitement légitime. L’une de ses utilisations est d’avertir les utilisateurs des résultats de recherche qu'il est dangereux de suivre en cochant la case correspondante. Kaspersky n'est pas la seule solution antivirus à le faire.
Kaspersky a reconnu le problème et déclaré qu'il pourrait être exploité par des tiers pour « potentiellement compromettre la confidentialité de l'utilisateur en utilisant un identifiant de produit unique ».
La société a publié un correctif début juin. Selon un avis du 11 juillet, un attaquant pourrait en tirer parti via un script déployé sur un serveur qu’il contrôle.
Avant de signaler le problème à Kaspersky, Eikenberg a testé le potentiel de sa découverte en consacrant environ une demi-heure à la création d'un site Web qui copiait automatiquement les identifiants Kaspersky des visiteurs.
Eikenberg affirme que s’il parvient à détecter ce problème, qui porte désormais la référence CVE-2019-8286, il est possible que les spécialistes du marketing, les acteurs malveillants et les entreprises spécialisées dans le profilage de visiteurs de sites Web aient découvert cette fuite de données d’utilisateur il ya plusieurs années et l’aient exploitée; il n'y a aucune preuve pour soutenir cela, cependant.
Le correctif ne supprime pas complètement le problème de pistage
Cependant, le problème de suivi persiste à un niveau plus général, car les sites Web peuvent voir si l'antivirus Kaspersky est installé chez les visiteurs et quel est l'âge de la version.
« Ce sont en réalité des informations précieuses pour un attaquant. Ils peuvent utiliser ces informations pour distribuer des logiciels malveillants adaptés au logiciel de protection, ou pour rediriger le navigateur vers une page d'arnaque appropriée », a écrit le chercheur.
Dans un scénario imaginé par Eikenberg, un attaquant pourrait utiliser ceci pour montrer aux victimes un message les informant que leur version spécifique d'un produit Kaspersky était sur le point d'expirer et qu'elles pourraient étendre la licence avec un achat en ligne.
Une solution pour éliminer définitivement ce type de risque consiste à désactiver la fonction de traitement du trafic du produit en accédant au menu Réseau et en décochant l'option permettant d'injecter un script dans le trafic Web.
Kaspersky offrait la même solution à plusieurs utilisateurs qui n'étaient pas à l'aise avec le fait que l'antivirus qui injectait du JavaScript dans les pages visitées.
Les utilisateurs doivent être conscients que la désactivation de cette option a une incidence sur la fonctionnalité des autres composants du produit, tels que la saisie sécurisée des données, Safe Money (une technologie de Kaspersky qui permet aux utilisateurs de bénéficier d’une protection et d’une sécurisation de leurs opérations critiques sur un navigateur), la navigation incognito, l'antibanner et le contrôle parental.
Sources : Kaspersky, Ronald Eikenberg
Et vous ?
Utilisez-vous une solution antivirus ? Laquelle ? L'avez-vous autorisée à injecter du JavaScript sur vos pages Web ? Pourquoi ?Voir aussi :
Un chercheur trouve une méthode CSS pour suivre les mouvements de la souris, qui pourrait servir à pister les internautes avec JS désactivé DuckDuckGo propose le Do Not Track Act, un projet de loi qui obligerait les sites à ne pas pister les internautes qui utilisent Do Not Track Des chercheurs trouvent le moyen de contourner les mécanismes de protection contre le pistage, offert par sept navigateurs et 46 extensions Facebook pourrait bientôt avoir un concurrent open source et sans pistage, soutenu par des pionniers de la vie privée et de la cybersécurité