Vous avez peut-être lu un article sur une faille de sécurité effrayante dans le VLC qui a fait de la place pour que des codes malveillants s’exécutent sur votre ordinateur. D’autres nouvelles alarmantes vous ont même dit de désinstaller le lecteur vidéo. Mais vous pouvez vous calmer : la vulnérabilité, qui se trouvait dans un élément tiers, a été corrigée il y a plus d’un an.
Tout a commencé lorsque l’agence de sécurité allemande CERT-Bund a signalé une défaillance du VLC et a fait publier sa découverte par WinFuture. Le rapport s’est étendu à d’autres sites et a obtenu un identifiant CVE (Common Vulnerabilities and Exposures), apparaissant dans une base de données publique de bogues de sécurité. Le CVE-2019-13615 a une note de base de 9,8, 10,0 indiquant le risque le plus grave possible.
Si l’échec était exploité, un pirate informatique pouvait installer, modifier ou exécuter un logiciel malveillant sur n’importe quel ordinateur fonctionnant sous Windows, Linux ou Unix, à l’exception de MacOS, qui était le seul à ne pas être affecté.
Pire encore : la vulnérabilité a été exploitée de manière simple, il a suffi que la victime tente de reproduire un fichier *.mkv avec du code malveillant dans le VLC. Bien qu’il n’y ait eu aucun exploit dans l’activité, la faille est considérée comme grave en raison de son ampleur : le lecteur vidéo ne pouvait se fermer qu’à l’improviste, mais pouvait aussi être utilisé pour accéder de manière abusive à n’importe quel fichier sur votre machine.
Mardi (23), les responsables du projet VideoLAN se sont exprimés sur Twitter, se plaignant de l’attitude des agences de sécurité qui ont signalé une violation considérée comme grave sans avoir préalablement contacté les développeurs et sans avoir vérifié les informations ? contrairement à leurs propres codes d’éthique. Mercredi matin (24), l’organisation a précisé que le VLC n’est pas vulnérable.
Selon VideoLAN, la faille de sécurité se trouvait dans libebml, une bibliothèque du projet Matroska qui traite les informations contenues dans les conteneurs *.mkv. Seul l’écart a été comblé il y a 16 mois. Le responsable du VLC affirme que la vulnérabilité a été signalée uniquement parce que les tests ont été effectués sur un ordinateur équipé d’Ubuntu 18.04 qui avait peut-être une version obsolète de libebml, un composant tiers.
Pour ceux qui utilisent les binaires VLC (c’est-à-dire tous ceux qui utilisent Windows et probablement la plupart des utilisateurs d’autres systèmes d’exploitation), il n’y a rien à craindre depuis la version 3.0.3, lorsque la libebml corrigée a été incluse avec le lecteur vidéo. Le VLC est actuellement à la version 3.0.7.1.
Si vous avez désinstallé le VLC, vous pouvez le télécharger à nouveau sur le site officiel.
