Comment AVAST a un peu (beaucoup) gâché notre été 2015

Les antivirus sont désormais aussi des "man-in-the-middle".

AVAST a mis en place du https scanning dans sa dernière version.

Je ne sais pas si c'est une bonne idée, mais quand c'est mal fait, cela a des conséquences sur les messages https et donc sur l'activité d'une plateforme de paiement.

Considérant que les sites https ayant un certificat de type EV n'avaient pas besoin de scan d'url, AVAST a mis en place un filtrage censé les protéger.

Sauf que ce filtrage est basé sur un "fake" redirect (HTML 302) et que dans ce cas tous les paramètres postés sont perdus.
Une fois le scan fait, AVAST met en liste blanche l'url du site, mais le mal est fait.
Et à chaque reboot ou chaque lancement d'AVAST, la liste blanche locale est réinitialisée et à chaque nouvel appel les paramètres sont perdus.

Conséquence:

6 à 7% de messages de paiement reçus des internautes étaient vides et les internautes ne pouvaient pas payer. Sauf à retourner sur le site et tenter un nouveau paiement.

Autre conséquence:
Les messages à destination des ACS 3D secure perdaient leur PaREQ et l'authentification était impossible.


A force d'harceler AVAST, nous avons obtenu que nos url de paiement soient whitelistées dans la base virale en attendant une correction définitive du problème.

Même si cela a été long pour trouver un interlocuteur, je tiens à remercier Lukas R...k, Director of Desktop Platform, d'AVAST, qui nous a répondu très vite, une fois le bon contact identifié, et qui a mis en place une solution de contournement quelques heures après notre échange.


Je cite:

"Thank you for contacting me directly. We are already aware of this issue, and are trying to come up with a fix. I am truly sorry for the troubles this bug in Avast brings to you. From your description it is clear that we have underestimated its gravity.

It is caused by our efforts to ignore all EV certificates from the MITM scanning – especially banking sites. As soon as we know the connection’s certificate and identify it as EV, we are trying to stop filtering it. However, since we were already part of the handshake, it is not that easy to do it. For this purpose we started to give a “fake” answer to the client with HTTP status 302, redirect it to the same page again and close the connection. This all happens only the first time we see traffic with the EV site – on all subsequent requests, the site is whitelisted automatically"

Voir notre ancien post sur les problèmes liés à 3D Secure

Commentaires