Faille critique dans Transmission et d'autres clients BitTorrent

Stéphane Moussie |

Téléchargeurs de distributions Linux en torrent, attention ! Une faille critique dans Transmission peut être exploitée par un malandrin pour prendre le contrôle de votre ordinateur à distance.

Cliquer pour agrandir

Tavis Ormandy, le chercheur en sécurité à l’origine de la découverte, a publié une preuve de concept et des explications complètes la semaine dernière, facilitant dès lors la tâche des tire-laines qui voudraient en tirer parti. Il a aussi mis au point un correctif qui attend d’être intégré à l’application.

L’équipe Project Zero dont fait partie le chercheur attend habituellement la correction des failles ou une période de 90 jours après l’avertissement à l’éditeur pour dévoiler publiquement ses découvertes. Mais devant l’inaction des développeurs de Transmission à qui il a fourni une solution clés en main, Tavis Ormandy a décidé de révéler plus tôt la faille pour les faire réagir.

Un responsable de Transmission a déclaré à Ars Technica qu’un correctif allait être déployé « aussi vite que possible » et que la vulnérabilité ne concernait que les utilisateurs ayant activé l’accès à distance sans mot de passe.

La faille concerne en effet une fonction qui permet de contrôler le client BitTorrent depuis un navigateur web. En utilisant un site web malicieux qui trompe la connexion entre le navigateur et Transmission (technique du DNS Rebinding), un malandrin peut faire télécharger le fichier qu’il veut dans le dossier qu’il veut et à partir de là prendre le contrôle de la cible.

Transmission n’est pas le seul client BitTorrent vulnérable. Tavis Ormandy a indiqué que d’autres clients populaires étaient aussi affectés, sans les citer nommément pour l’instant.

avatar adixya | 

Woof

avatar lesurfeurfou | 

Étonnant toutes ces failles à répétitions. C’était pareil avant mais on n’était pas informés ?

avatar MacGruber | 

@lesurfeurfou

Très bonne question. Ça fait flipper !

avatar jj_ardoino | 

D'un autre côté, si on n'a jamais activé l'accès à distance dans les préférences de Transmission, on avait peu de chances d'être informé ou de déceler une anomalie...

avatar Average Joe | 

On avait surtout peu de chance de se faire pirater, non ?

avatar jj_ardoino | 

@Average Joe
C'était une façon de dire que, dans l'utilisation qui en est faite à 95%, il ne viendrait à l'idée de personne d'activer l'accès à distance, donc il y avait peu de risque d'être vulnérable

avatar Sushiwa | 

Moi j’écoute HOP, les mises à jours c’est pour les pigeons ?

avatar roccoyop | 

??

avatar youpla77 | 

"la vulnérabilité ne concernait que les utilisateurs ayant activé l’accès à distance sans mot de passe."
On ne devrait pas pouvoir, quelque soit le soft ou OS, laisser un accès à distance sans mot de passe.

avatar DG33 | 

@youpla77

Clair. Autant mettre sa maison en loc/vente sur LeBonCoin ou AirBnB et indiquer « venez visiter c’est ouvert 24/7, et quand vous serez entré faites comme chez vous et fermez bien à clé.

avatar Average Joe | 

Je n'ai pas coché l'accès à distance chez moi. Affaire réglée donc.

avatar tbr | 

Les malandrins* sont de fieffés filous qui méritent le pilori. Tudieu d’crévindiou !

Est-ce possible de renouveler en utilisant un synonyme ? J’dis ça... J’dis rien. ??

avatar gela | 

@tbr

Moi j'aime bien le malandrin. Ça fait marque de commerce pour MacG.

avatar javascript | 

ça me fait penser à un sketch de jamel debouze, sinon j'aime bien aussi, mais dans l'article il y a une répétition.

avatar mat 1696 | 

@gela

Oui !

avatar jj_ardoino | 

Oui, bel effet de surprise avec "malandrin". J'attendais des suites avec les marauds, les scélérats, éventuellement les pendards, les gibiers de potence et les coupe-jarrets...

avatar Yohmi | 

@tbr
Je te trouve dur, on a eu un nouveau synonyme cette fois-ci : « tire-laines ». J'applaudis la performance ?

avatar Kriskool | 

Faille ou pas... Hadopi m’a épinglé avec Transmission !☹️ pourtant suis un téléchargeur du dimanche ..

avatar youpla77 | 

Mais le dimanche c'est normal. Essaye plutôt le lundi matin ;)

avatar javascript | 

peu importe le soft, ça change pas le problème si tu veux éviter hadopi c'est vpn ou seedbox. ne dit pas merci ;)

avatar Average Joe | 

Non, ce qui compte c'est de télécharger sur des sites que Hadopi ne connaît/ne suit pas. Comme moi, en somme.

avatar John McClane | 

@Kriskool

C'était sur quel fichier ? Film, Séries tv ?

avatar Kriskool | 

@John McClane

Film

avatar bes | 

@Kriskool

Si tu télécharges en direct c’est normal, il te faut une seedbox pour être penard

avatar Kriskool | 

@bes

Je connais pas bien .. c’est payant?

avatar bes | 

@Kriskool

Environ 50€ par an pour télécharger avec seedbox, ultra rapide. Plus de problème hadopi !

avatar daxr1der | 

@Kriskool

seedbox ou vpn

avatar mikabri | 

@Kriskool

Ça existe encore Hadopi ??

avatar Kriskool | 

@mikabri

Évidemment

avatar gela | 

@Kriskool

Moi aussi la semaine dernière. J'ai reçu mon 4e premier avertissement. On ne peut pas dire qu'ils soient au point. Où bien le dossier repart à zéro à chaque année. Je ne sais pas.

avatar alan1bangkok | 

des failles , il semblent y en avoir partout sur toutes les plateformes et beaucoup de logiciels .
Considérant que cela me gonflait , il y a longtemps que j'ai decidé de m'en battre les pruneaux royalement ..
Décision facilité par le fait que je ne me sers pas de mon ordi pour le travail et que je ne rentre pas dedans d' informations bancaires ou personnelles
En outre je ne fais pas de sauvegarde , ça m'emmerde
And you know what ? je vis bien , mange bien et dors bien et baise aussi mais plus rarement

avatar Moonwalker | 

Y’a une forme de sagesse.

avatar reborn | 

En avant Hop ! Class action feu !

avatar misterbrown | 

Vite un procès !

avatar eastsider | 

Et dans itransmission?

avatar javascript | 

rien à voir.

avatar Bonofox | 

Je confirme pour les failles, j’ai encore reçu un courrier Hadopi ?

avatar Moonwalker | 

????

N’importe quoi.

avatar Plastivore | 

En fait, j'ai un peu de mal à comprendre en quoi consiste la faille, si ce n'est de laisser l'interface Web ouverte aux 4 vents... Bon, certes, une fois le fichier téléchargé il devrait trop rien se passer, mais quand même.

De mon côté, j'utilise l'interface Web vu que Transmission tourne sur un petit server. J'utilise Transmission Remote GUI sur mon Mac pour tout y gérer et y ajouter des torrents comme en local. Bon, par contre, il faut un login/mot de passe pour accéder au serveur Transmission (et ce même s'il n'est pas accessible depuis l'extérieur (en théorie))...

CONNEXION UTILISATEUR