Faille critique dans Transmission et d'autres clients BitTorrent

Stéphane Moussie |

Téléchargeurs de distributions Linux en torrent, attention ! Une faille critique dans Transmission peut être exploitée par un malandrin pour prendre le contrôle de votre ordinateur à distance.

Cliquer pour agrandir

Tavis Ormandy, le chercheur en sécurité à l’origine de la découverte, a publié une preuve de concept et des explications complètes la semaine dernière, facilitant dès lors la tâche des tire-laines qui voudraient en tirer parti. Il a aussi mis au point un correctif qui attend d’être intégré à l’application.

L’équipe Project Zero dont fait partie le chercheur attend habituellement la correction des failles ou une période de 90 jours après l’avertissement à l’éditeur pour dévoiler publiquement ses découvertes. Mais devant l’inaction des développeurs de Transmission à qui il a fourni une solution clés en main, Tavis Ormandy a décidé de révéler plus tôt la faille pour les faire réagir.

Un responsable de Transmission a déclaré à Ars Technica qu’un correctif allait être déployé « aussi vite que possible » et que la vulnérabilité ne concernait que les utilisateurs ayant activé l’accès à distance sans mot de passe.

La faille concerne en effet une fonction qui permet de contrôler le client BitTorrent depuis un navigateur web. En utilisant un site web malicieux qui trompe la connexion entre le navigateur et Transmission (technique du DNS Rebinding), un malandrin peut faire télécharger le fichier qu’il veut dans le dossier qu’il veut et à partir de là prendre le contrôle de la cible.

Transmission n’est pas le seul client BitTorrent vulnérable. Tavis Ormandy a indiqué que d’autres clients populaires étaient aussi affectés, sans les citer nommément pour l’instant.

avatar adixya | 

Woof

avatar lesurfeurfou | 

Étonnant toutes ces failles à répétitions. C’était pareil avant mais on n’était pas informés ?

avatar MacGruber | 

@lesurfeurfou

Très bonne question. Ça fait flipper !

avatar jj_ardoino | 

D'un autre côté, si on n'a jamais activé l'accès à distance dans les préférences de Transmission, on avait peu de chances d'être informé ou de déceler une anomalie...

avatar Average Joe | 

On avait surtout peu de chance de se faire pirater, non ?

avatar jj_ardoino | 

@Average Joe
C'était une façon de dire que, dans l'utilisation qui en est faite à 95%, il ne viendrait à l'idée de personne d'activer l'accès à distance, donc il y avait peu de risque d'être vulnérable

avatar Sushiwa | 

Moi j’écoute HOP, les mises à jours c’est pour les pigeons 😬

avatar roccoyop | 

😅😂

avatar youpla77 | 

"la vulnérabilité ne concernait que les utilisateurs ayant activé l’accès à distance sans mot de passe."
On ne devrait pas pouvoir, quelque soit le soft ou OS, laisser un accès à distance sans mot de passe.

avatar DG33 | 

@youpla77

Clair. Autant mettre sa maison en loc/vente sur LeBonCoin ou AirBnB et indiquer « venez visiter c’est ouvert 24/7, et quand vous serez entré faites comme chez vous et fermez bien à clé.

avatar Average Joe | 

Je n'ai pas coché l'accès à distance chez moi. Affaire réglée donc.

avatar tbr | 

Les malandrins* sont de fieffés filous qui méritent le pilori. Tudieu d’crévindiou !

Est-ce possible de renouveler en utilisant un synonyme ? J’dis ça... J’dis rien. 🤔😎

avatar gela | 

@tbr

Moi j'aime bien le malandrin. Ça fait marque de commerce pour MacG.

avatar javascript | 

ça me fait penser à un sketch de jamel debouze, sinon j'aime bien aussi, mais dans l'article il y a une répétition.

avatar mat 1696 | 

@gela

Oui !

avatar jj_ardoino | 

Oui, bel effet de surprise avec "malandrin". J'attendais des suites avec les marauds, les scélérats, éventuellement les pendards, les gibiers de potence et les coupe-jarrets...

avatar Yohmi | 

@tbr
Je te trouve dur, on a eu un nouveau synonyme cette fois-ci : « tire-laines ». J'applaudis la performance 😃

avatar Kriskool | 

Faille ou pas... Hadopi m’a épinglé avec Transmission !☹️ pourtant suis un téléchargeur du dimanche ..

avatar youpla77 | 

Mais le dimanche c'est normal. Essaye plutôt le lundi matin ;)

avatar javascript | 

peu importe le soft, ça change pas le problème si tu veux éviter hadopi c'est vpn ou seedbox. ne dit pas merci ;)

avatar Average Joe | 

Non, ce qui compte c'est de télécharger sur des sites que Hadopi ne connaît/ne suit pas. Comme moi, en somme.

avatar John McClane | 

@Kriskool

C'était sur quel fichier ? Film, Séries tv ?

avatar Kriskool | 

@John McClane

Film

avatar bes | 

@Kriskool

Si tu télécharges en direct c’est normal, il te faut une seedbox pour être penard

avatar Kriskool | 

@bes

Je connais pas bien .. c’est payant?

Pages

CONNEXION UTILISATEUR