Author Topic: Comportement suspect de Avast lors de scans (Read 3518 times)

phil camps · « **on:** September 11, 2018, 06:18:20 PM »

Bonjour,
j'ai pu constater sur les serveurs que j'administre des logs suspects provenant de Avast. Ces logs indiquent que des machines de mon réseau sur lequel Avast est installé, effectuent des requêtes GET afin de récupérer le fichier /etc/passwd. Ces requêtes n'aboutissent pas heureusement. Je vois d'habitude ce genre de requêtes provenant de hackers. C'est la raison pour laquelle ces logs m'intriguent et vous posent la question suivante :

Pourquoi avast chercherait-il à récupérer un fichier password qui le confond avec la signature d'attaques sur le réseau ?
Est-ce que Avast serait compromis ou chercherait à récupérer des informations à notre insu ?

Ces logs apparaissent au moment où les utilisateurs lançaient un scan avast.

- - [10/Sep/2018:07:42:23 +0200] "GET / HTTP/1.1" 302 206 "-" "avast! Antivirus"
- - [10/Sep/2018:07:42:23 +0200] "GET /HNAP1/ HTTP/1.1" 302 212 "-" "avast! Antivirus"
- - [10/Sep/2018:07:42:54 +0200] "GET /language/Swedish${IFS}&&ping$IFS-c1$IFS-s41${IFS}>/dev/null&&tar${IFS}/string.js HTTP/1.1" 302 330 "-" "avast! Antivirus"
- - [10/Sep/2018:07:42:55 +0200] "GET /language/Swedish${IFS}&&echo${IFS}AVAST-HNS-SCAN-PROBE>AVAST-HNS-SCAN-PROBE&&tar${IFS}/string.js HTTP/1.1" 302 332 "-" "avast! Antivirus"
- - [10/Sep/2018:07:42:55 +0200] "GET /../../../../../../../mnt/mtd/AVAST-HNS-SCAN-PROBE HTTP/1.1" 400 226 "-" "avast! Antivirus"
- - [10/Sep/2018:07:42:55 +0200] "GET /../../../../../etc/passwd HTTP/1.1" 400 226 "-" "avast! Antivirus"

Bien cordialement

Asyn · « **Reply #1 on:** September 13, 2018, 11:48:39 AM »

Hi, that's related to WiFi-Inspector, nothing to worry about.

Jacques Fondaire · « **Reply #2 on:** September 13, 2018, 01:44:44 PM »

Bonjour,

Merci Asyn.

Je vais traduire la réponse pour les lecteurs exclusivement francophones de ce forum :

"Cela provient de Wi-Fi Inspector, il n'y a pas de quoi fouetter un chat".

Dont acte.

Sincères salutations,

Asyn · « **Reply #3 on:** September 13, 2018, 01:56:19 PM »

Quote from: Jacques Fondaire on September 13, 2018, 01:44:44 PM

Bonjour, Merci Asyn.

Salut Jacques, de rien.

phil camps · « **Reply #4 on:** September 13, 2018, 02:21:00 PM »

Pour vous, cela est connu, provient de Wi-Fi Inspector et donc normal.
Cela ne vous choque pas que Avast cherche à récupérer par le réseau un fichier sensible de mot de passe sur un serveur Linux.
Et bien la confiance en Avast en prend un sacré coup !

Quoi qu'il en soit, je fais informer les utilisateurs qu'il leur est interdit d'utiliser Avast sur leur machine et vais remonter à ma chaîne fonctionnelle du SI le problème d'intrusion de Avast sur systèmes informatiques (délit pénal).

Cordialement

Asyn · « **Reply #5 on:** September 13, 2018, 02:44:38 PM »

If you don't need/want WFI, you can disable or even uninstall it.
-> https://support.avast.com/article/96/ (Add/Remove components)

chris.. · « **Reply #6 on:** September 14, 2018, 06:55:11 PM »

Quote from: phil camps on September 13, 2018, 02:21:00 PM

Cela ne vous choque pas que Avast cherche à récupérer par le réseau un fichier sensible de mot de passe sur un serveur Linux.

Bonjour,

moi si , et bien que je n'ai pas tous les éléments pour comprendre se qui se passe réellement , ce que je trouve le plus choquant , c'est de conseiller de simplement désinstaller le Wi-Fi inspector sans autres explications , confiance ou pas.
C'est - je pense - autrement plus grave de voir de telles données sortir de notre disque dur.

Ceci dit , je ne vois pas avast prendre ce risque si ce qui transite était un délit , et que personne dans le monde ne soit allé plus loin.

Jacques Fondaire · « **Reply #7 on:** September 15, 2018, 02:37:57 PM »

Bonjour,

Je vais commencer par traduire le dernier message d'Asyn.

"Si vous n'avez pas besoin de Wi-Fi inspector ou si vous n'en voulez pas, vous pouvez le désactiver et même le désinstaller" Explications sur le site d'Avast :
https://support.avast.com/fr-fr/article/96/

Je ne dispose pas d'outils qui me permettent d'expliquer le fonctionnement précis de l'analyse réseau faite par Avast. J'espère, comme chris disposer de plus d'éléments.

Ce que j'ai déjà observé, c'est que Wi-Fi Inspector recherche un ensemble de problèmes réseau, parmi lesquels l'existence d'un mot de passe faible. Pour ce faire, il doit donc chercher les mots de passe utilisés.
Si cela reste en interne et prévient l'utilisateur - et seulement lui - que c'est une mauvaise idée d'utiliser "123456" comme mot de passe réseau, cela ne me paraît pas incompatible avec le rôle d'un logiciel de sécurité.
Autre chose serait que ces mots de passe soient récupérés et transmis...

Je crois qu'Asyn consacre beaucoup de temps à aider les utilisateurs d'Avast. À ce titre, je lui fait confiance, à priori, s'il nous écrit que ce n'est pas inquiétant.

Je suis très intéressé par les observations de chacun concernant les scans...

Sincères salutations,

REDACTED · « **Reply #8 on:** September 17, 2018, 02:41:30 PM »

Merci pour la traduction, mon anglais est tout rouillé

Author Topic: Comportement suspect de Avast lors de scans (Read 3518 times)

phil camps

Comportement suspect de Avast lors de scans

Asyn

Re: Comportement suspect de Avast lors de scans

Jacques Fondaire

Re: Comportement suspect de Avast lors de scans

Asyn

Re: Comportement suspect de Avast lors de scans

phil camps

Re: Comportement suspect de Avast lors de scans

Asyn

Re: Comportement suspect de Avast lors de scans

chris..

Re: Comportement suspect de Avast lors de scans

Jacques Fondaire

Re: Comportement suspect de Avast lors de scans

REDACTED

Re: Comportement suspect de Avast lors de scans