Le logiciel client BitTorrent Transmission est vulnérable à l’exécution de code arbitraire à distance via un site web piégé, ce qui peut conduire au piratage de la machine sur laquelle il est installé. D’autres clients BitTorrent du marché sont vulnérables de la même manière.
C’est le chercheur en sécurité Tavis Ormandy de l’équipe Google Project Zero qui a révélé la faille critique présente dans Transmission BitTorrent, un client open source assez populaire, notamment sur macOS et Linux. Un PoC (Proof of Concept) est aussi disponible en ligne ici.
Sur Twitter, le chercheur confirme que d’autres clients BitTorrent sont également vulnérables, mais leurs noms ne sont pas encore dévoilés en attendant que son patch correctif soit appliqué sur l’ensemble des applications concernées vulnérables. Comme d’habitude d’après les règle de divulgation de Project Zero, un délai de 90 est donné à l’éditeur du logiciel mis en cause pour corriger.
Un responsable de Transmission a déclaré à Ars Technica qu’un correctif allait être déployé « aussi vite que possible » et que la vulnérabilité ne concernait que les utilisateurs ayant activé l’accès à distance sans mot de passe.
Pour l’aspect technique, la faille se situe au niveau du deamon tournant en tâche de fond et recevant les commandes et téléchargeant les fichiers, sur un principe de client / serveur. Ces commandes sont transmises par le biais d’un serveur Web local (à l’adresse localhost ou 127.0.0.1) via des requêtes JSON RPC. Or, si un site Web piégé est visité par l’utilisateur ayant un tel client actif sur sa machine, il est possible pour un pirate informatique de se substituer au serveur Web local via la technique d’attaque baptisée “DNS Rebinding“, et ainsi, être en mesure d’envoyer des commandes arbitraires sur la machine cible. Dès cet instant, l’attaquant peut tout faire : télécharger et implanter des logiciels malveillants sur la machine, exécuter de manière transparente des services locaux, déployer une porte dérobée (backdoor), forcer l’exécution d’un script au démarrage, etc.
Prudence donc à tous les utilisateurs de clients BitTorrent, et restez attentifs aux prochaines mises à jour !