Faille critique dans Transmission et d'autres clients BitTorrent
Téléchargeurs de distributions Linux en torrent, attention ! Une faille critique dans Transmission peut être exploitée par un malandrin pour prendre le contrôle de votre ordinateur à distance.
Tavis Ormandy, le chercheur en sécurité à l’origine de la découverte, a publié une preuve de concept et des explications complètes la semaine dernière, facilitant dès lors la tâche des tire-laines qui voudraient en tirer parti. Il a aussi mis au point un correctif qui attend d’être intégré à l’application.
L’équipe Project Zero dont fait partie le chercheur attend habituellement la correction des failles ou une période de 90 jours après l’avertissement à l’éditeur pour dévoiler publiquement ses découvertes. Mais devant l’inaction des développeurs de Transmission à qui il a fourni une solution clés en main, Tavis Ormandy a décidé de révéler plus tôt la faille pour les faire réagir.
Un responsable de Transmission a déclaré à Ars Technica qu’un correctif allait être déployé « aussi vite que possible » et que la vulnérabilité ne concernait que les utilisateurs ayant activé l’accès à distance sans mot de passe.
La faille concerne en effet une fonction qui permet de contrôler le client BitTorrent depuis un navigateur web. En utilisant un site web malicieux qui trompe la connexion entre le navigateur et Transmission (technique du DNS Rebinding), un malandrin peut faire télécharger le fichier qu’il veut dans le dossier qu’il veut et à partir de là prendre le contrôle de la cible.
Transmission n’est pas le seul client BitTorrent vulnérable. Tavis Ormandy a indiqué que d’autres clients populaires étaient aussi affectés, sans les citer nommément pour l’instant.
Woof
Étonnant toutes ces failles à répétitions. C’était pareil avant mais on n’était pas informés ?
@lesurfeurfou
Très bonne question. Ça fait flipper !
D'un autre côté, si on n'a jamais activé l'accès à distance dans les préférences de Transmission, on avait peu de chances d'être informé ou de déceler une anomalie...
On avait surtout peu de chance de se faire pirater, non ?
@Average Joe
C'était une façon de dire que, dans l'utilisation qui en est faite à 95%, il ne viendrait à l'idée de personne d'activer l'accès à distance, donc il y avait peu de risque d'être vulnérable
Moi j’écoute HOP, les mises à jours c’est pour les pigeons ?
??
"la vulnérabilité ne concernait que les utilisateurs ayant activé l’accès à distance sans mot de passe."
On ne devrait pas pouvoir, quelque soit le soft ou OS, laisser un accès à distance sans mot de passe.
@youpla77
Clair. Autant mettre sa maison en loc/vente sur LeBonCoin ou AirBnB et indiquer « venez visiter c’est ouvert 24/7, et quand vous serez entré faites comme chez vous et fermez bien à clé.
Je n'ai pas coché l'accès à distance chez moi. Affaire réglée donc.
Les malandrins* sont de fieffés filous qui méritent le pilori. Tudieu d’crévindiou !
Est-ce possible de renouveler en utilisant un synonyme ? J’dis ça... J’dis rien. ??
@tbr
Moi j'aime bien le malandrin. Ça fait marque de commerce pour MacG.
ça me fait penser à un sketch de jamel debouze, sinon j'aime bien aussi, mais dans l'article il y a une répétition.
@gela
Oui !
Oui, bel effet de surprise avec "malandrin". J'attendais des suites avec les marauds, les scélérats, éventuellement les pendards, les gibiers de potence et les coupe-jarrets...
@tbr
Je te trouve dur, on a eu un nouveau synonyme cette fois-ci : « tire-laines ». J'applaudis la performance ?
Faille ou pas... Hadopi m’a épinglé avec Transmission !☹️ pourtant suis un téléchargeur du dimanche ..
Mais le dimanche c'est normal. Essaye plutôt le lundi matin ;)
peu importe le soft, ça change pas le problème si tu veux éviter hadopi c'est vpn ou seedbox. ne dit pas merci ;)
Non, ce qui compte c'est de télécharger sur des sites que Hadopi ne connaît/ne suit pas. Comme moi, en somme.
@Kriskool
C'était sur quel fichier ? Film, Séries tv ?
@John McClane
Film
@Kriskool
Si tu télécharges en direct c’est normal, il te faut une seedbox pour être penard
@bes
Je connais pas bien .. c’est payant?
@Kriskool
Environ 50€ par an pour télécharger avec seedbox, ultra rapide. Plus de problème hadopi !
@Kriskool
seedbox ou vpn
@Kriskool
Ça existe encore Hadopi ??
@mikabri
Évidemment
@Kriskool
Moi aussi la semaine dernière. J'ai reçu mon 4e premier avertissement. On ne peut pas dire qu'ils soient au point. Où bien le dossier repart à zéro à chaque année. Je ne sais pas.
des failles , il semblent y en avoir partout sur toutes les plateformes et beaucoup de logiciels .
Considérant que cela me gonflait , il y a longtemps que j'ai decidé de m'en battre les pruneaux royalement ..
Décision facilité par le fait que je ne me sers pas de mon ordi pour le travail et que je ne rentre pas dedans d' informations bancaires ou personnelles
En outre je ne fais pas de sauvegarde , ça m'emmerde
And you know what ? je vis bien , mange bien et dors bien et baise aussi mais plus rarement
Y’a une forme de sagesse.
En avant Hop ! Class action feu !
Vite un procès !
Et dans itransmission?
rien à voir.
Je confirme pour les failles, j’ai encore reçu un courrier Hadopi ?
????
N’importe quoi.
En fait, j'ai un peu de mal à comprendre en quoi consiste la faille, si ce n'est de laisser l'interface Web ouverte aux 4 vents... Bon, certes, une fois le fichier téléchargé il devrait trop rien se passer, mais quand même.
De mon côté, j'utilise l'interface Web vu que Transmission tourne sur un petit server. J'utilise Transmission Remote GUI sur mon Mac pour tout y gérer et y ajouter des torrents comme en local. Bon, par contre, il faut un login/mot de passe pour accéder au serveur Transmission (et ce même s'il n'est pas accessible depuis l'extérieur (en théorie))...