Début février, le plugin Torrents Time avait longuement fait parler de lui, renouvelant, facilitant et améliorant le concept introduit par Popcorn Time. Mais prudence, le plugin s’avère vulnérable à de nombreuses failles de sécurité ainsi que responsable de la fuite de diverses données personnelles.
Tout ceux qui ont installé le plugin piratesur leur navigateur Web préféré doivent être alertés : ce dernier est vulnérables aux attaques par Cross Site Scripting et les données des utilisateurs sont alors soumises aux attaques par interception. De plus, des fuites de données personnelles ont été mises en évidence…
Vous vous souvenez de Popcorn Time qui permettait le streaming via BitTorrent depuis une interface Web ? Et bien Torrents Time reprend le concept et se présente comme un « plug-in révolutionnaire » qui permet de streamer des flux torrents en P2P directement au sein d’un navigateur Web sous la forme d’une extension. A la base, Torrents Time se veut être “LE Netflix pirate” et embarque un VPN (Anonymous VPN) pour dissimuler l’activité illégale, et des fonctionnalités d’affichage déporté type AirPlay ou Chromecast pour regarder son film tranquillement sur sa télé.
Tellement efficace que le BREIN, un groupe de lutte antipiratage basé aux Pays-Bas, a immédiatement réagit en dénonçant une application illégale et en demandant aux administrateurs du service de “cesser immédiatement la distribution de Torrents Time“. Le site du projet risque par ailleurs d’être bientôt bloqué…
De grosses lacunes en sécurité
Mais voila, la révolution technologique a ses limites visiblement… En effet, plusieurs développeurs ont analysé le logiciel Torrents Time et repéré d’énormes failles de sécurité, pouvant être très dommageable pour les utilisateurs. Andrew Sampson s’est penché sur ces problèmes et les détaillent sur son blog. Résultat, une personne malveillante pourrait facilement détourner le plugin via du code JavaScript malicieux afin d’infecter la machine d’un utilisateur, ou encore de l’espionner (navigateur utilisé, contenus torrents téléchargés, etc).
De plus, le développeur met l’accent sur un point critique : Torrents Time s’installe sur Mac OS X en mode “root”, ce qui signifie qu’il a tous les droits sur la machine. Pour finir, Sampson met en avant le fait que les sites qui utilisent Torrents Time (The Pirate Bay par exemple) seraient vulnérables à des attaques de type « Cross site scripting » (XSS).
Sur Reddit, plusieurs développeurs ont également inspecté le logiciel et il s’avère que Torrents Time est en réalité un proxy qui s’installe sous la forme d’un service sur l’ordinateur, et qui va ensuite chercher les torrents sur les sites web, qui les transforme en flux MP4 et les transfèrent au navigateur. L’extension de navigateur ne sert qu’à piloter le service proxy. Selon le développeur « Wack0 », les communications sont chiffrée via TLS, mais le binaire intègre les certificats et les clés privés des connexions. Celles-ci sont désormais disponibles sur GitHub, ce qui ouvre la porte aux attaques d’interception de type « Man in the middle ».
Sur Torrent Freak, les développeurs de Torrents Time tentent de défendre leur création mais visiblement, il y a bien des lacunes. Mieux vaut passer votre chemin !