Le gestionnaire de mots de passe de Trend Micro en mode Open Bar

Un chercheur de Google a dévoilé des failles de sécurité dans le gestionnaire de mots de passe de Trend Micro. Ce dernier a finalement laborieusement réussi à corriger les problèmes.

Tavis Ormandy aura été implacable avec Trend Micro. Appliquant la politique de l’équipe Google Project Zero pour laquelle il travaille, ce chercheur en sécurité a rendu publics ses échanges avec l’éditeur japonais autour de plusieurs failles détectées dans son logiciel Password Manager… et non corrigées 90 jours après leur signalement.

Disponible sur PC, Mac, iOS et Android, ce gestionnaire d’identifiants de connexion pour les sites Web est commercialisé à 9,95 euros TTC par an – sachant qu’il existe une offre gratuite pour stocker jusqu’à 5 mots de passe.

Il fonctionne officiellement avec Internet Explorer (9, 10 et 11), Safari (7.1, 8.0), ainsi que Chrome et Firefox (il est recommandé, pour ces deux navigateurs régulièrement mis à jour, d’utiliser une version suffisamment récente).

Password Manager est utilisable indépendamment des autres solutions Trend Micro. Toutefois, il s’installe en parallèle de certains produits de l’éditeur, typiquement l’antivirus pour Windows. Son lancement est automatique au démarrage.

70 API vulnérables

Écrit en JavaScript essentiellement via Node.js, ce logiciel concurrent d’un LastPass, d’un Dashlane ou d’un 1Password ouvre de nombreux ports HTTP pour pouvoir accepter des requêtes API. Problème : certaines d’entre elles permettent à des tiers d’exécuter du code à distance, sans aucune intervention de l’utilisateur ciblé. Au fil de son enquête, Tavis Ormandy a déniché près de 70 API vulnérables.

Pour illustrer ses trouvailles auprès de Trend Micro, il a d’abord utilisé la commande openUrlInDefaultBrowser, qui lui a permis de transmettre du code malveillant et de l’exécuter via ShellExecute().

Pour sa démonstration, il s’est contenté de lancer la calculatrice Windows en tant que processus dépendant de Password Manager. Tout en suggérant d’autres pistes, par exemple via une archive .zip contenant un fichier .hta, c’est-à-dire une application à base de HTML et d’autres langages pris en charge par les navigateurs Web.

Une correction laborieuse

Les équipes de Trend Micro s’y sont prises à plusieurs fois pour corriger leur produit. Elles ont d’abord désactivé ShellExecute(), souligne ITespresso. Puis corrigé l’API showSB pour empêcher les commandes à distance… et les fuites de mots de passe qui pouvaient en résulter. Car c’était bien là le souci, d’autant plus qu’une autre API permettait de casser le chiffrement appliqué à ces mots de passe.

On peut théoriquement parler à l’imparfait, un patch étant diffusé depuis hier. Des doutes subsistent toutefois sur la réelle immunité de ce que Trend Micro présente comme un « coffre-fort chiffré » ; tout particulièrement face à des attaques provenant du même réseau local que la machine visée.

A lire aussi :

Sécurité réseau : Trend Micro récupère TippingPoint auprès de HP
Sécurité : comment les nouvelles menaces sont décortiquées

hacking for password © Yong Hian Lim – Fotolia.com