Un utilisateur a détecté plus de 80 000 requêtes transmises en 24 heures vers un sous-domaine Avira Safe Things, et ce n’est pas la première accusation de ce type proférée à l'encontre d'un routeur TP-Link…
Sur Reddit, l’utilisateur ArmoredCavalry rapporte avoir constaté un étrange comportement émanant de son routeur TP-Link. Celui-ci envoie des données à Avira sans consentement préalable. Ce n’est hélas pas la première fois qu’un tel comportement est observé sur les routeurs de la marque chinoise. En mai 2021, les journalistes de XDA-Developers avaient observé quelque chose de similaire lors du test du TP-Link Deco X68.
Des données partagées avec un fournisseur tiers, sans le consentement de l’utilisateur
Dans un post publié au cours du week-end, ArmoredCavalry relate sa découverte. En surveillant le trafic de son routeur TP-Link, en l’occurrence un modèle Wi-Fi 6 AX3000 (Archer AX55), l’individu a constaté qu’en à peine 24 heures, plus de 80 000 requêtes avaient été transmises vers un sous-domaine Avira « Safe Things ».
En poussant un peu plus loin ses investigations, ArmoredCavalry s’est aperçu que ces échanges avaient un lien avec TP-Link HomeCare, service auquel il n’a pas pourtant jamais souscrit.
Avant de poursuivre, quelques précisions s’imposent. TP-Link présente HomeCare comme « un ensemble de fonctionnalités vous permettant de créer un réseau sécurisé et personnalisé, adapté à toute la famille. Les fonctions incluent Antivirus, Contrôle parental et QoS (qualité de service) ».
Concernant Avira Safe Things, Avira la décrit comme une « plateforme basée sur le Cloud qui permet aux fabricants de routeurs domestiques et aux fournisseurs d'accès Internet (FAI) de créer un environnement sécurisé pour les maisons intelligentes de leurs clients ». Au passage, vous avez peut-être noté que HomeCare est soutenu par Trend Micro et non par Avira.
Pour en revenir à l’histoire d’ArmoredCavalry, comme mentionné plus haut, il précise qu’il avait complètement désactivé les services Avira / Home Shield et ne s’était pas non plus abonné auparavant. Sa sentence est donc sans appel : « Le routeur s'en moque et envoie TOUT votre trafic pour qu'il soit "analysé" ».
Un comportement déjà observé en mai 2021
Cette accusation a un précédent, d’ailleurs cité dans son post par ArmoredCavalry. En mai 2021, à l’occasion d’un test du TP-Link Deco X68, XDA avait déjà remarqué une activité réseau similaire et l’envoi de données vers Avira.
Corbin Davenport, auteur du test, avait demandé des explications à TP-Link. La firme en avait finalement fourni après publication de l’article. Voici lesquelles :
« Mise à jour : TP-Link indique que l'activité du réseau est due à "la base de données Cloud d’Avira [qui distingue] si [la demande du réseau est] une donnée sécurisée ou un logiciel malveillant". Une mise à jour du firmware est en cours d’élaboration. Elle désactivera cette fonctionnalité si aucune fonction réseau Avira n'est activée dans l'application, mais il n'y a pas encore de calendrier estimé pour cela ».
Presque un an plus tard, il apparaît donc que ce « problème » n’a toujours pas été corrigé…
Mise à jour du 23/03 :
Un représentant de TP-Link nous a contactés afin d'apporter des précisions suite à la publication de cet article. Il nous a confirmé qu'un utilisateur avait découvert que son routeur TP-Link lançait fréquemment des requêtes vers des sous-domaines Avira, et a souhaité clarifier les points suivants :
« TP-Link HomeShield utilise les services d'Avira. Par conséquent, les routeurs HomeShield obtiennent régulièrement l'adresse IP d'Avira. Cependant, après avoir examiné le logiciel, nous avons identifié des failles dans la logique de demande DNS, ce qui entraîne de fréquentes demandes de résolution. Nous avons optimisé le logiciel pour éviter les requêtes fréquentes.
Les processus liés à Avira qui provoquent des requêtes DNS seront arrêtés dans le firmware mis à jour (dernière version) jusqu'à ce que les utilisateurs les activent ». En d'autres termes, les nouveaux firmwares devraient empêcher que les requêtes soient envoyées chez Avira si ces dernières sont désactivées.
Et TP-Link de préciser : « En tant que requêtes DNS, ces demandes ne portent pas d'informations personnelles. TP-Link respecte la sécurité des données des utilisateurs et reste à leur écoute. Nous adhérons à la philosophie de la transparence et de l'ouverture et accueillons avec plaisir la supervision et les commentaires de toutes les parties.
Des mises à jour de firmware sont sorties et d'autres suivront prochainement, disponibles sur ces 2 FAQ :
Sources : Neowin, Reddit, XDA-developers, TP-Link, Avira
