Les sous-titres de films et de séries sont généralement considérés comme des fichiers texte inoffensifs, mais peuvent cacher des codes malveillants. Les lecteurs vidéo connus tels que VLC, Kodi et Popcorn Time sont soumis à une faille de sécurité qui permet à une personne malveillante de prendre le contrôle total de son ordinateur.
La vulnérabilité a été découverte par l’entreprise de sécurité CheckPoint, qui estime qu’environ 200 millions d’utilisateurs sont concernés ? la version 2.2.4 du VLC pour Windows, par exemple, compte 171 millions de téléchargements. En exécutant un sous-titre malveillant, le lecteur vidéo permet le contrôle à distance du PC, ce qui peut entraîner le vol d’informations, l’installation de rançons et des attaques par déni de service.
Vous ne devriez pas avoir de problème si vous utilisez les lecteurs uniquement pour regarder des films sur des supports physiques, qui ont déjà des sous-titres intégrés, mais peuvent être affectés si vous téléchargez des sous-titres de sites web tiers. De plus, certains logiciels se téléchargent automatiquement dans des dépôts comme OpenSubtitles.org. En manipulant le classement de ces sites, il est possible de faire en sorte qu’une légion d’utilisateurs téléchargent des codes malveillants sans le savoir.
Cette vidéo montre une preuve de concept de l’attaque :
Le problème est causé, selon CheckPoint, par le faible niveau de sécurité des différents lecteurs de médias et le nombre élevé de formats de sous-titres sur le marché : plus de 25 types sont utilisés. En l’absence de norme établie, le logiciel doit interpréter tous les formats, chacun avec une méthode différente, ce qui finit par faire place à des vulnérabilités comme celle-ci.
Pour être sûr, mettez à jour votre lecteur vidéo dès que possible. VLC a déjà publié la version 2.2.5.1, qui corrige l’échec, ainsi que Popcorn Time. Kodi, anciennement XBMC, n’a pas encore été mis à jour.