Fermer le menu

Faille critique dans Transmission et d'autres clients BitTorrent

Stéphane Moussie | | 12:00 |  39

Téléchargeurs de distributions Linux en torrent, attention ! Une faille critique dans Transmission peut être exploitée par un malandrin pour prendre le contrôle de votre ordinateur à distance.

Cliquer pour agrandir

Tavis Ormandy, le chercheur en sécurité à l’origine de la découverte, a publié une preuve de concept et des explications complètes la semaine dernière, facilitant dès lors la tâche des tire-laines qui voudraient en tirer parti. Il a aussi mis au point un correctif qui attend d’être intégré à l’application.

L’équipe Project Zero dont fait partie le chercheur attend habituellement la correction des failles ou une période de 90 jours après l’avertissement à l’éditeur pour dévoiler publiquement ses découvertes. Mais devant l’inaction des développeurs de Transmission à qui il a fourni une solution clés en main, Tavis Ormandy a décidé de révéler plus tôt la faille pour les faire réagir.

Un responsable de Transmission a déclaré à Ars Technica qu’un correctif allait être déployé « aussi vite que possible » et que la vulnérabilité ne concernait que les utilisateurs ayant activé l’accès à distance sans mot de passe.

La faille concerne en effet une fonction qui permet de contrôler le client BitTorrent depuis un navigateur web. En utilisant un site web malicieux qui trompe la connexion entre le navigateur et Transmission (technique du DNS Rebinding), un malandrin peut faire télécharger le fichier qu’il veut dans le dossier qu’il veut et à partir de là prendre le contrôle de la cible.

Transmission n’est pas le seul client BitTorrent vulnérable. Tavis Ormandy a indiqué que d’autres clients populaires étaient aussi affectés, sans les citer nommément pour l’instant.

Catégories: 

Les derniers dossiers

Ailleurs sur le Web


39 Commentaires Signaler un abus dans les commentaires

avatar adixya 16/01/2018 - 12:20 (edité)

Woof

avatar lesurfeurfou 16/01/2018 - 12:28 via iGeneration pour iOS

Étonnant toutes ces failles à répétitions. C’était pareil avant mais on n’était pas informés ?

avatar MacGruber 16/01/2018 - 12:36 via iGeneration pour iOS

@lesurfeurfou

Très bonne question. Ça fait flipper !



avatar jj_ardoino 16/01/2018 - 12:43

D'un autre côté, si on n'a jamais activé l'accès à distance dans les préférences de Transmission, on avait peu de chances d'être informé ou de déceler une anomalie...

avatar Average Joe 17/01/2018 - 12:36

On avait surtout peu de chance de se faire pirater, non ?

avatar jj_ardoino 17/01/2018 - 21:08

@Average Joe
C'était une façon de dire que, dans l'utilisation qui en est faite à 95%, il ne viendrait à l'idée de personne d'activer l'accès à distance, donc il y avait peu de risque d'être vulnérable

avatar Sushiwa 16/01/2018 - 12:41 via iGeneration pour iOS

Moi j’écoute HOP, les mises à jours c’est pour les pigeons 😬



avatar roccoyop 16/01/2018 - 13:05 (edité)

😅😂

avatar youpla77 16/01/2018 - 13:16 (edité)

"la vulnérabilité ne concernait que les utilisateurs ayant activé l’accès à distance sans mot de passe."
On ne devrait pas pouvoir, quelque soit le soft ou OS, laisser un accès à distance sans mot de passe.

avatar DG33 16/01/2018 - 13:52 via iGeneration pour iOS

@youpla77

Clair. Autant mettre sa maison en loc/vente sur LeBonCoin ou AirBnB et indiquer « venez visiter c’est ouvert 24/7, et quand vous serez entré faites comme chez vous et fermez bien à clé.

avatar Average Joe 17/01/2018 - 12:34

Je n'ai pas coché l'accès à distance chez moi. Affaire réglée donc.

avatar tbr 16/01/2018 - 13:32 via iGeneration pour iOS

Les malandrins* sont de fieffés filous qui méritent le pilori. Tudieu d’crévindiou !

Est-ce possible de renouveler en utilisant un synonyme ? J’dis ça... J’dis rien. 🤔😎

avatar gela 16/01/2018 - 13:53 via iGeneration pour iOS

@tbr

Moi j'aime bien le malandrin. Ça fait marque de commerce pour MacG.

avatar javascript 16/01/2018 - 15:05

ça me fait penser à un sketch de jamel debouze, sinon j'aime bien aussi, mais dans l'article il y a une répétition.

avatar mat 1696 16/01/2018 - 16:50 via iGeneration pour iOS

@gela

Oui !

avatar jj_ardoino 17/01/2018 - 12:43

Oui, bel effet de surprise avec "malandrin". J'attendais des suites avec les marauds, les scélérats, éventuellement les pendards, les gibiers de potence et les coupe-jarrets...

avatar Yohmi 17/01/2018 - 09:50 (edité)

@tbr
Je te trouve dur, on a eu un nouveau synonyme cette fois-ci : « tire-laines ». J'applaudis la performance 😃

avatar Kriskool 16/01/2018 - 14:05 via iGeneration pour iOS

Faille ou pas... Hadopi m’a épinglé avec Transmission !☹️ pourtant suis un téléchargeur du dimanche ..

avatar youpla77 16/01/2018 - 14:12

Mais le dimanche c'est normal. Essaye plutôt le lundi matin ;)

avatar javascript 16/01/2018 - 15:06

peu importe le soft, ça change pas le problème si tu veux éviter hadopi c'est vpn ou seedbox. ne dit pas merci ;)

avatar Average Joe 17/01/2018 - 12:32

Non, ce qui compte c'est de télécharger sur des sites que Hadopi ne connaît/ne suit pas. Comme moi, en somme.

avatar John McClane 16/01/2018 - 15:14 via iGeneration pour iOS

@Kriskool

C'était sur quel fichier ? Film, Séries tv ?

avatar Kriskool 16/01/2018 - 18:30 via iGeneration pour iOS

@John McClane

Film

avatar bes 16/01/2018 - 18:16 via iGeneration pour iOS

@Kriskool

Si tu télécharges en direct c’est normal, il te faut une seedbox pour être penard

avatar Kriskool 16/01/2018 - 18:31 via iGeneration pour iOS (edité)

@bes

Je connais pas bien .. c’est payant?

Pages