En plus de son logiciel antivirus, Avira propose à ses utilisateurs un service de sauvegarde en ligne sécurisé, appelé Secure Backup. Sauf qu’un hacker de 16 ans a trouvé le moyen d’usurper leurs identités et d’accéder totalement aux comptes personnels.
Dans le cercle très concurrentiel des logiciels antivirus gratuits (et payants), Avira fait partie de ceux qui parviennent à tirer leur épingle du jeu, avec notamment 100 millions de clients en 2012. L’éditeur de sécurité propose également un service gratuit plus méconnu : Secure Backup, ou la sauvegarde automatique de documents personnels (ex : photos) en ligne, sur les serveurs Avira. Il suffit simplement de créer un compte utilisateur.
Mais à seulement 16 ans, l’expert en sécurité Mazen Gamal a découvert que le site web d’Avira est vulnérable aux attaques de type CSRF : plus concrètement, cela signifie qu’à l’aide d’un lien malveillant, une personne mal intentionnée peut accéder aux comptes personnels d’utilisateurs avec de faux identifiants. L’adresse mail de l’utilisateur légitime est alors remplacée par celle de l’attaquant, qui peut procéder au renouvellement du mot de passe. Une fois le compte détourné, le pirate peut librement consulter les comptes hackés, et récupérer tous les fichiers personnels sauvegardés, comme en témoigne cette vidéo :
Le 21 août, le jeune expert a averti Avira de cette vulnérabilité, qui a en suite fait le nécessaire pour la corriger. Si vous utilisez Avira Secure Backup, vous n’avez donc a priori plus rien à craindre ! En espérant qu’un jour l’éditeur de sécurité propose à ses utilisateurs un accès protégé par double-authentification…
Source: undernews.fr
Aucun commentaire