Avec le navigateur Tor Browser, qui permet de naviguer sur le réseau d’anonymisation Tor, des utilisateurs sur Windows ont été confrontés ces dernières heures à des difficultés. Une connexion impossible à cause d’une mise en quarantaine par la protection contre les virus et menaces de Microsoft.
Cette situation a suscité des inquiétudes légitimes, d’autant que l’alerte a été jugée grave par Microsoft Defender. Une infection de Tor Browser (et en particulier tor.exe) par un cheval de Troie identifié en tant que Win32/Malgent!MTB.
» Ce programme est dangereux et il exécute des commandes émanant d’une personne malveillante. » Difficile de faire plus alarmiste avec un navigateur comme Tor Browser qui est censé apporter certaines garanties en matière de confidentialité.
Microsoft Defender se ravise
Peut-être à cause du week-end, la situation est restée assez confuse. Rapidement, la piste d’un faux positif a été évoquée, mais en s’appuyant seulement sur le fait que cela a déjà pu se produire par le passé.
Dans l’entremise, davantage de moteurs antivirus sur VirusTotal.com ont commencé à tiquer, sans toutefois atteindre un nombre critique. Actuellement, un problème de détection de malware pour Tor Browser concerne quatre moteurs antivirus, ce qui n’est plus le cas de Microsoft Defender.
Sur le forum du projet Tor, un modérateur indique avoir reçu une réponse de Microsoft selon laquelle la détection en tant que malware a été supprimée, suite à une mise à jour de la base de données des signatures. Ainsi, tor.exe n’est plus considéré comme un cheval de Troie par Microsoft Defender.
» Si Tor Browser a cessé de fonctionner pendant ce week-end, assurez-vous que Microsoft Defender est à jour, et désinstallez tor.exe, ou réinstallez Tor Browser en le téléchargeant sur le site web du projet Tor, et n’oubliez pas de vérifier la signature « , écrit le modérateur.
À surveiller sur VirusTotal
L’alerte de Microsoft Defender a pu faire croire à une infection de Tor Browser dans la chaîne d’approvisionnement. L’évolution de la situation reste à surveiller, afin de contrôler si tous les moteurs antivirus se mettront au diapason.
La détection d’un malware par Microsoft Defender a touché la version 12.5.6 de Tor Browser, en épargnant des versions plus anciennes. Cela peut aiguiller vers un problème en lien avec la correction de la vulnérabilité de sécurité CVE-2023-5217 (au niveau de libvpx pour l’encodage vidéo au format VP8) avec la base Firefox ESR de Tor Browser.
À souligner par ailleurs que la version 32 bits de Tor Browser 12.5.6 n’a cependant pas eu droit à la détection d’un malware.