Les utilisateurs de clients BitTorrent ont intérêt à faire attention aux sites web sur lesquels ils surfent. Plusieurs logiciels de ce type sont en effet vulnérables à une faille critique qui permet à un attaquant d’exécuter du code arbitraire à distance sur l’ordinateur. Le chercheur en sécurité Tavis Ormandy de l’équipe Google Project Zero vient en effet de révéler une telle faille dans Transmission BitTorrent, un client open source assez populaire, notamment sur macOS. Sur Twitter, le chercheur confirme que d’autres clients BitTorrent sont également vulnérables, mais leurs noms ne sont pas encore dévoilés.
Yes, but we're still in the 90 days window, so not public yet.
— Tavis Ormandy (@taviso) January 11, 2018
Le problème se situe au niveau de l’architecture logicielle. Transmission fonctionne sur un principe client/serveur. Un daemon, qui tourne en tâche de fond, reçoit les commandes émises depuis l’interface utilisateur et assure les téléchargements des fichiers. Ces commandes sont transmises au travers d’un serveur web local (adresse localhost ou 127.0.0.1) en utilisant des requêtes JSON RPC.
Le hic, c’est qu’un site web piégé peut, grâce à un tour de passe-passe appelé « DNS Rebinding », se substituer au serveur web local et envoyer des commandes au daemon.
A partir de là, l’attaquant peut alors très simplement télécharger des fichiers malveillants… et les faire exécuter par la machine. Par exemple en modifiant le dossier de téléchargement par défaut ou en créant un script qui va s’exécuter lorsque le fichier sera téléchargé.
Testé sur Chrome et Firefox
Tavis Ormandy a validé cette attaque sur Chrome et Firefox, tant sur Windows que sur Linux (Fedora et Ubuntu). Il estime qu’elle devrait également fonctionner sur d’autres plateformes. Il a créé un patch qui devrait être implémenté prochainement par les développeurs de Transmission. A noter que, sur ce coup, Google n’a pas respecté sa sacro-sainte règle des 90 jours pour publier la faille. N’ayant reçu aucun retour de la part des développeurs, le chercheur a décidé en effet de raccourcir le délai de publication, pour permettre aux différentes distributions d’intégrer le patch de façon indépendante. On est impatient de connaître les noms des autres logiciels vulnérables.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.