Transmission est un programme bien connu pour télécharger des torrents, installé par défaut dans plusieurs distributions Linux telles que Ubuntu et Fedora, et assez populaire sur MacOS.
Tavis Ormandy, chercheur du Projet Zéro de Google, a découvert une panne de transmission. Lorsque les utilisateurs activent l’accès à distance et désactivent la protection par mot de passe, cela permet aux sites d’exécuter des codes malveillants. Cette lacune a déjà été explorée dans Chrome et Firefox pour Windows et Linux.
Malheureusement, même si vous utilisez un autre client de torrent, vous pouvez toujours être vulnérable. Sur Twitter, Ormandy affirme qu’il s’agit du “premier de quelques échecs d’exécution de code à distance dans plusieurs clients torrents populaires”. Il ne peut pas révéler de noms car il ne divulgue les détails que 90 jours après en avoir informé le développeur, ou lorsqu’un correctif est distribué.
Le cas de la transmission est cependant différent. Comme il s’agit d’un logiciel libre, M. Ormandy a alerté les développeurs et a également envoyé un correctif qui corrige la vulnérabilité ? seulement 40 jours plus tard, il n’a pas encore été mis en œuvre.
“Je trouve frustrant que les développeurs de Transmission ne répondent pas sur leur liste de sécurité privée”, écrit Ormandy. “J’ai suggéré de rendre la faille publique pour que les distributions Linux puissent appliquer le correctif de manière indépendante.” Un développeur de Transmission dit à Ars Technica que le correctif officiel sera publié “dès que possible”.
L’accès à distance permet à l’utilisateur de contrôler le client du torrent par le biais du navigateur web. Si l’utilisateur accède à un site malveillant, un pirate peut contrôler la transmission et exécuter des commandes à distance une fois le téléchargement terminé.
L’attaque utilise une technique appelée “DNS rebinding”. L’utilisateur visite un site malveillant qui configure son serveur DNS pour répondre alternativement par 127.0.0.1 et 123.123.123 (une adresse contrôlée par le pirate). Lorsque le navigateur accède à 123.123.123.123, le site transmet un code jusqu’à ce qu’il obtienne l’autorisation de lire et de définir des en-têtes.
Même après que Transmission ait réparé la panne, il est important que les utilisateurs activent la protection par mot de passe s’ils utilisent l’accès à distance ; Ormandy dit que la plupart des gens ne le font pas. Le conseil s’adresse bien sûr aussi aux autres clients BitTorrent.