Clients Torrent : Transmission et d’autres applications permettent à n’importe qui de pirater votre PC ou Mac !

Les clients torrent sont dans la tourmente : une faille critique dans le client torrent Transmission BitTorrent (Windows, Linux et Mac) permet de pirater n'importe quel ordinateur à distance. On doit cette découverte à l'équipe de Google Project Zero. L'application n'a pas encore bénéficié d'un patch de sécurité : du coup, les conclusions des chercheurs permettent à n'importe qui d'exploiter la faille et de prendre contrôle de votre PC ou Mac. Cette faille serait également présente dans d'autres applications de téléchargement de torrents.

Le client torrent open source et multiplateformes Transmission ainsi que potentiellement d'autres clients torrent sont visés par une nouvelle faille de sécurité critique. Celle-ci a été découverte par une équipe d'ingénieurs du Google Project Zero. Tavis Ormandy qui signe le post explique ainsi comment des hackers peuvent exploiter ce qu'il appelle le DNS Rebinding pour prendre le contrôle de l'application quelle que soit la plateforme, télécharger du code malicieux et l'exécuter. Cette faille est connue depuis une semaine, mais les développeurs de Transmission tardent à publier un correctif de sécurité. Ce qui implique que des hackers sont en ce moment en train d'essayer de l'exploiter.

Clients Torrent : une faille dans Transmission et d'autres applications permet à n'importe qui de pirater votre PC ou Mac !

C'est qu'à en croire ses conclusions, le problème est profond. Transmission exécute pour fonctionner un serveur local (accessible à l'adresse localhost ou 127.0.0.1) par lequel transitent toutes les commandes via des requêtes JSON. A priori rien de bien méchant puisqu'en l'absence d'intervention, cette adresse n'est normalement pas accessible de l'extérieur. Le problème, c'est l'existence de la fameuse technique du DNS Rebinding. Ce type d'attaque repose sur une page web malicieuse qui provoque l'exécution d'un script en local. Il peut alors faire passer des requêtes JSON via le serveur de Transmission, et ordonner le téléchargement de code malicieux.

L'attaquant peut également forcer le téléchargement dans un dossier spécial de l'ordinateur de la victime auquel est attaché un script ou une action qui va automatiquement exécuter ce qui y est déposé. Sous Linux cela peut être encore plus simple : on peut forcer le téléchargement d'un fichier .bashrc dans le dossier Home. Vous l'aurez compris, un pirate suffisamment malin peut prendre le contrôle total d'une machine sur laquelle tourne Transmission. Tavis Ormandy précise sur Twitter que le problème touche aussi d'autres clients torrent – bien qu'il refuse de donner pour l'instant leur nom, fenêtre de 90 jours oblige. De quoi leur laisser un peu plus de temps pour éditer un patch.

Le développeur a décidé de publier la vulnérabilité de façon anticipée pour Transmission, excédé par l'absence de réponse des développeurs – qui ont néanmoins depuis repris le contact. Interrogé par nos confrères de Ars Technica, un développeur de Transmission précise ainsi qu'un correctif sera déployé “aussi vite que possible“. Et conseille de désactiver en attendant l'Accès à distance via le navigateur sans mot de passe. Utilisez-vous Transmission ou d'autres clients Torrent avec l'”accès à distance” ou Web ? Pourquoi utilisez-vous votre client torrent ainsi ? Partagez votre retour avec la communauté dans les commentaires !

La première de quelques failles permettant d'exécuter du code à distance dans des clients torrent populaires, voici une vulnérabilité DNS Rebinding affectant Transmission et qui résulte dans l'exécution de code arbitraire à distance

Voir les commentaires
Ailleurs sur le web