Vent de panique chez Bitdefender et Trend Micro. Plusieurs failles de sécurité critiques ont été découvertes dans leurs antivirus. Pour l'heure, les deux entreprises conseillent vivement à leurs utilisateurs une mise à jour de leurs versions.
La situation est plutôt cocasse : les logiciels censés nous protéger des cyberattaques se retrouvent eux-mêmes exposés aux cyberattaques. Bitdefender et Trend Micro, deux grands noms de la cybersécurité qui ne s'en laissent pas, en principe, conter, viennent d'annoncer des vulnérabilités dans leurs produits phares.
Les deux éditeurs ont immédiatement sorti des correctifs, mais le temps presse : ces failles permettent à des pirates de s'immiscer dans les communications des utilisateurs ou de prendre le contrôle de leur système.
Des antivirus qui ouvriraient potentiellement la porte aux pirates
Cinq vulnérabilités chez Bitdefender, une chez Trend Micro. Six failles qui font froid dans le dos, tant elles touchent au cœur même des systèmes de protection. Pour Bitdefender Total Security, c'est la fonction d'analyse HTTPS qui est touchée. Cette composante, censée vérifier la sécurité des communications entre votre navigateur et les sites web, présenterait des défauts dans la vérification des certificats.
Les pirates pourraient exploiter cette brèche pour intercepter vos données en ligne, comme un voleur qui se ferait passer pour un agent de sécurité à l'entrée d'un bâtiment. Les développeurs ont dû revoir leur copie en urgence, aboutissant à la version 27.0.25.11 qui colmate ces failles.
Du côté de Trend Micro, la situation ne serait guère plus réjouissante. La faille CVE-2024-48903, notée 7,8 sur 10 sur l'échelle de gravité CVSS, permettrait à un attaquant disposant d'un accès minimal au système de s'octroyer les pleins pouvoirs. C'est comme si un visiteur d'entreprise pouvait soudainement accéder au bureau du P.-D.G.
Une course contre la montre pour sécuriser les systèmes
La cybersécurité ressemble parfois à un jeu du chat et de la souris, et cette fois-ci, les souris ont pris une longueur d'avance. Les statistiques sont sans équivoque : on s'attend à voir apparaître environ 2 900 nouvelles vulnérabilités chaque mois cette année, soit une augmentation de 25 % par rapport à l'année précédente. Et en guise de cerise sur le gâteau empoisonné, 45 % des failles signalées en 2023 n'ont jamais été corrigées, soit autant de portes ouvertes aux quatre vents, mais surtout aux hackers.
Pour les utilisateurs de Bitdefender Total Security, la mise à jour vers la version 27.025.115 est plus que recommandée. Les clients de Trend Micro doivent quant à eux s'assurer d'utiliser la version 20.0.1-17380 de Deep Security Agent. Les deux éditeurs ont opté pour des mises à jour automatiques, mais plutôt deux fois qu'une : un simple clic dans les paramètres de votre antivirus suffit pour contrôler votre version et déclencher la mise à jour si nécessaire. Un antivirus averti mis à jour en vaut deux.
16 octobre 2024 à 11h48
Sources : Heise, Bitdefender, Trend Micro
