[Article mis à jour le 24/10/2024 à 16h43] Petite alerte chez Bitdefender et Trend Micro. Des failles de sécurité critiques ont été découvertes dans leurs antivirus. Pour l'heure, les deux entreprises conseillent à leurs utilisateurs de laisser leurs logiciels de sécurité se mettre à jour automatiquement et de quand même vérifier qu'ils possèdent la dernière version du programme. Si ce n'est pas le cas, il faudra vite déclencher cette mise à jour manuellement…

Les éditeurs de logiciels de sécurité peuvent eux aussi rencontrer des problèmes de sécurité. © Pungu x / Shutterstock
Les éditeurs de logiciels de sécurité peuvent eux aussi rencontrer des problèmes de sécurité. © Pungu x / Shutterstock

La situation est plutôt cocasse : les logiciels censés nous protéger des cyberattaques se retrouvent eux-mêmes exposés aux cyberattaques. Bitdefender et Trend Micro, deux grands noms de la cybersécurité qui ne s'en laissent pas, en principe, conter, viennent d'annoncer des vulnérabilités dans leurs produits phares.

Les deux éditeurs ont immédiatement sorti des correctifs (le 18 octobre pour Bitdefender), mais le temps presse : ces failles permettent à des pirates de s'immiscer dans les communications des utilisateurs ou de prendre le contrôle de leur système.

Des antivirus qui ouvriraient potentiellement la porte aux pirates

Cinq vulnérabilités chez Bitdefender, une chez Trend Micro. Six failles qui font froid dans le dos, tant elles touchent au cœur même des systèmes de protection. Pour Bitdefender Total Security, c'est la fonction d'analyse HTTPS qui est touchée. Cette composante, censée vérifier la sécurité des communications entre votre navigateur et les sites Web, présenterait des défauts dans la vérification des certificats.

Les pirates pourraient exploiter cette brèche pour intercepter vos données en ligne, comme un voleur qui se ferait passer pour un agent de sécurité à l'entrée d'un bâtiment. Les développeurs ont dû revoir leur copie en urgence, aboutissant à la version 27.0.25.11 qui colmate toutes ces failles.

Du côté de Trend Micro, la situation ne serait guère plus réjouissante. La faille CVE-2024-48903, notée 7,8 sur 10 sur l'échelle de gravité CVSS, permettrait à un attaquant disposant d'un accès minimal au système de s'octroyer les pleins pouvoirs. C'est comme si un visiteur d'entreprise pouvait soudainement accéder au bureau du P.-D.G.

Une course contre la montre pour sécuriser les systèmes

La cybersécurité ressemble parfois à un jeu du chat et de la souris, et cette fois-ci, les souris ont eu un museau d'avance pendant quelques jours. Les statistiques sont sans équivoque : on s'attend à voir apparaître environ 2 900 nouvelles vulnérabilités chaque mois cette année, soit une augmentation de 25% par rapport à l'année précédente. Et en guise de cerise sur le gâteau empoisonné, 45% des failles signalées en 2023 n'ont jamais été corrigées, soit autant de portes ouvertes aux quatre vents, mais surtout aux hackers. La bonne nouvelle si vous possédez l'une de ces suites de sécurité, c'est que leurs éditeurs ont été très réactifs.

Mettez vite Bitdefender et Trend Micro à jour © mayam_studio / Shutterstock
Mettez vite Bitdefender et Trend Micro à jour © mayam_studio / Shutterstock

Pour les utilisateurs de Bitdefender Total Security, la mise à jour vers la version 27.025.115 est plus que recommandée. Les clients de Trend Micro doivent quant à eux s'assurer d'utiliser la version 20.0.1-17380 de Deep Security Agent. Les deux éditeurs ont opté pour des mises à jour automatiques, mais plutôt deux fois qu'une : un simple clic dans les paramètres de votre antivirus suffit pour contrôler votre version et déclencher la mise à jour si nécessaire. Signalons au passage qu'il est vraiment déconseillé de désactiver les mises à jour automatiques sur la solution de sécurité de votre ordinateur. Un antivirus mis à jour automatiquement en vaut deux.

Sources : Heise, Bitdefender, Trend Micro