Méfiance, des failles sur des logiciels BitTorrent facilitent le piratage à distance

Une nouvelle faille de sécurité critique a été découverte par l’équipe de Google Project Zero et cette fois, la vulnérabilité se situe dans les clients BitTorrent, rendant votre ordinateur très facile à pirater.

Faille sur les clients BitTorrent

C’est une nouvelle qui ne devrait pas ravir les amateurs de torrent. Une faille critique les rend très vulnérables à des attaques informatiques à distance et mérite donc une plus grande vigilance.

Une faille de sécurité critique découverte par Google Project Zero

Adeptes des clients BitTorrent, la prudence doit être de mise dans les semaines à venir ! Une faille critique a été découverte dans le client torrent open source et multiplateformes Transmission, mais aussi potentiellement dans d’autres clients par une équipe d’ingénieurs du Google Project Zero. Elle peut être exploitée pour prendre le contrôle de l’application, télécharger un code malicieux et l’exécuter ensuite.

C’est le chercheur en sécurité Travis Ormandy qui a révélé le premier cette faille, précisant bien sur Twitter que d’autres clients sont aussi vulnérables. Concrètement, comment fonctionne la faille ? Elle exploite le « DNS Rebinding » qui repose sur une page web malicieuse provoquant l’exécution d’un script en local, qui peut faire télécharger un code malicieux. Le problème touche autant les PC sous Windows, que ceux sous Linux ou les Mac.

La faille n’est pas encore résolue !

Le plus préoccupant est sans doute que cette faille n’ait pas encore été résolue. Alors qu’elle est désormais connue depuis plus d’une semaine, les développeurs de Transmission n’ont pas encore publié un correctif de sécurité. Conséquence ? Des hackers sont très vraisemblablement en train d’essayer de l’exploiter en ce moment.

C’est ce manque de réaction qui a en fait poussé l’équipe de Google Project Zero à dévoiler la faille. Alors qu’ils respectent normalement un délai de 90 jours, il a été réduit pour permettre aux différentes distributions de régler le problème de façon autonome. Selon nos confrères du site américain Ars Tecnica, un correctif sera déployé « aussi vite que possible ».

Face à cette absence de visibilité, quelles sont vos solutions ? Le plus urgent est de désactiver l’accès à distance via le navigateur sans mot de passe. Vous pouvez aussi arrêter d’utiliser temporairement votre client BitTorrent, en attendant que le problème soit résolu. C’est peut-être le plus sûr pour l’instant.


Répondre