Clients Torrent : Transmission et d’autres applications permettent à n’importe qui de pirater votre PC ou Mac !

Les clients torrent sont dans la tourmente : une faille critique dans le client torrent Transmission BitTorrent (Windows, Linux et Mac) permet de pirater n'importe quel ordinateur à distance. On doit cette découverte à l'équipe de Google Project Zero. L'application n'a pas encore bénéficié d'un patch de sécurité : du coup, les conclusions des chercheurs permettent à n'importe qui d'exploiter la faille et de prendre contrôle de votre PC ou Mac. Cette faille serait également présente dans d'autres applications de téléchargement de torrents.

transmission bittorrent faille securite

Le client torrent open source et multiplateformes Transmission ainsi que potentiellement d'autres clients torrent sont visés par une nouvelle faille de sécurité critique. Celle-ci a été découverte par une équipe d'ingénieurs du Google Project Zero. Tavis Ormandy qui signe le post explique ainsi comment des hackers peuvent exploiter ce qu'il appelle le DNS Rebinding pour prendre le contrôle de l'application quelle que soit la plateforme, télécharger du code malicieux et l'exécuter. Cette faille est connue depuis une semaine, mais les développeurs de Transmission tardent à publier un correctif de sécurité. Ce qui implique que des hackers sont en ce moment en train d'essayer de l'exploiter.

Clients Torrent : une faille dans Transmission et d'autres applications permet à n'importe qui de pirater votre PC ou Mac !

C'est qu'à en croire ses conclusions, le problème est profond. Transmission exécute pour fonctionner un serveur local (accessible à l'adresse localhost ou 127.0.0.1) par lequel transitent toutes les commandes via des requêtes JSON. A priori rien de bien méchant puisqu'en l'absence d'intervention, cette adresse n'est normalement pas accessible de l'extérieur. Le problème, c'est l'existence de la fameuse technique du DNS Rebinding. Ce type d'attaque repose sur une page web malicieuse qui provoque l'exécution d'un script en local. Il peut alors faire passer des requêtes JSON via le serveur de Transmission, et ordonner le téléchargement de code malicieux.

L'attaquant peut également forcer le téléchargement dans un dossier spécial de l'ordinateur de la victime auquel est attaché un script ou une action qui va automatiquement exécuter ce qui y est déposé. Sous Linux cela peut être encore plus simple : on peut forcer le téléchargement d'un fichier .bashrc dans le dossier Home. Vous l'aurez compris, un pirate suffisamment malin peut prendre le contrôle total d'une machine sur laquelle tourne Transmission. Tavis Ormandy précise sur Twitter que le problème touche aussi d'autres clients torrent – bien qu'il refuse de donner pour l'instant leur nom, fenêtre de 90 jours oblige. De quoi leur laisser un peu plus de temps pour éditer un patch.

Le développeur a décidé de publier la vulnérabilité de façon anticipée pour Transmission, excédé par l'absence de réponse des développeurs – qui ont néanmoins depuis repris le contact. Interrogé par nos confrères de Ars Technica, un développeur de Transmission précise ainsi qu'un correctif sera déployé “aussi vite que possible“. Et conseille de désactiver en attendant l'Accès à distance via le navigateur sans mot de passe. Utilisez-vous Transmission ou d'autres clients Torrent avec l'”accès à distance” ou Web ? Pourquoi utilisez-vous votre client torrent ainsi ? Partagez votre retour avec la communauté dans les commentaires !

La première de quelques failles permettant d'exécuter du code à distance dans des clients torrent populaires, voici une vulnérabilité DNS Rebinding affectant Transmission et qui résulte dans l'exécution de code arbitraire à distance


Réagissez à cet article !

Demandez nos derniers articles !

Apple Watch Series 12 : ce changement de capteur inédit pourrait tout changer

La prochaine montre connectée d’Apple pourrait révolutionner l’industrie. L’Apple Watch Series 12 pourrait en effet intégrer un nouveau capteur de santé à un emplacement inédit. On vous explique tout. Dans…

Galaxy Watch 9 et Ultra 2 : Samsung préparerait du lourd, les nouveaux cadrans ont fuité

Les prochaines montres connectées de Samsung se dévoilent déjà. Une fuite nous montre ce qui pourrait être les nouveaux cadrans des Galaxy Watch 9 et autres Galaxy Watch Ultra 2…

L’attente de GTA 6 vire à l’obsession, ce couple prend une décision complètement folle

Pour certains fans, la passion pour GTA 6 n’a pas de limite. Un couple a ainsi passé un véritable contrat, qui impose plusieurs règles aux signataires concernant le prochain volet…

Samsung pourrait faire exploser le prix de la RAM, préparez-vous au choc

Coup de tonnerre dans l’industrie de l’électronique. Malgré l’actuelle crise des composants, Samsung aurait décidé d’augmenter une nouvelle fois le prix de ses puces mémoire DRAM. Une décision qui pourrait…

Google Wallet s’améliore sur Wear OS, cette nouveauté va vous simplifier la vie

L’application de paiement de Google s’enrichit. Celle-ci facilite notamment la gestion de vos dépenses effectuées via votre montre connectée Wear OS. Google n’en finit plus d’optimiser sa célèbre application de…

Google Maps va encore plus loin : l’application pourrait commander votre repas à votre place

Google Maps cacherait une fonctionnalité bien pratique pour les amateurs de restaurants. Celle-ci permettrait de grandement faciliter la récupération de vos plats favoris alors même que vous êtes sur la…

Un iPhone pliant se prépare, l’écran du Galaxy S27 se dévoile, c’est le récap’ de la semaine

L’événement d’Apple dévoilera ses futurs smartphones Pro ainsi qu’un premier modèle pliant, la nouvelle console de Valve se retrouve déjà victime de spéculation, Samsung a pris sa décision finale concernant…

Steam Machine : Valve vous permet de fabriquer cet accessoire indispensable

Fabriquer vous-même un accessoire essentiel de la Steam Machine, c’est désormais possible. Valve vient en effet de partager en open source les éléments nécessaires à sa fabrication. Le moins que…

Volkswagen enterre l’ID.4, mais le successeur du SUV électrique s’annonce bien plus ambitieux

Le SUV électrique Volkswagen ID.4 va bientôt tirer sa révérence. Le fabricant allemand s’apprête en effet à remplacer progressivement ce dernier par le Volkswagen ID. Tiguan, qui bénéficiera d’améliorations conséquentes….

ColorOS partout ? Oppo envisagerait un changement radical pour OnePlus et Realme

Les interfaces Android OxygenOS et Realme UI appartiendraient peut-être bientôt au passé. Oppo prévoirait en effet d’équiper les smartphones OnePlus et Realme de ColorOS, qui viendrait remplacer les précédentes interfaces….