Si vous avez installé Torrents Time, le « plug-in révolutionnaire » qui permet de streamer des Torrents dans votre navigateur, il serait peut-être temps de le désinstaller. Plusieurs développeurs ont en effet analysé ce logiciel et repéré d’énormes failles de sécurité. Le premier à se pencher sur le problème est Andrew Sampson.
Dans une note de blog, cet informaticien énumère toute une série de problèmes avec l’interface de programmation de ce plug-in. Ainsi, une ligne de code en Javascript suffirait pour permettre à n’importe quel site de faire télécharger n’importe quoi sur la machine d’un utilisateur de ce plug-in. Quelques lignes permettraient de savoir quels torrents l’utilisateur est en train de télécharger et au travers de quel navigateur.
Andrew Sampson a également découvert que le plug-in s’installe en mode « root » sur Mac OS X, ce qui signifie qu’il a accès à tout le système. Ce qui est très peu recommandé. Enfin, les sites qui utilisent Torrents Time, tel que The Pirate Bay, seraient vulnérables à des attaques de type « Cross site scripting » (XSS).
Torrents Time est en réalité un proxy
Sur Reddit, plusieurs développeurs ont également inspecté à la loupe ce logiciel. Il s’avère que Torrents Time n’est pas juste un plug-in capable de « streamer des torrents directement depuis le navigateur ». C’est en réalité un proxy qui s’installe sous la forme d’un service sur l’ordinateur, qui va chercher les torrents sur les sites web, qui les transforme en flux MP4 et les transfèrent au navigateur. L’extension de navigateur ne sert qu’à piloter le service proxy.
Selon le développeur « Wack0 », les deux communiquent par connexion chiffrée TLS, ce qui est assez courant pour ce genre de proxy. Ce qui est bête, en revanche, c’est que le binaire intègre d’emblée les certificats et les clés privés pour cette connexion. Celles-ci sont désormais disponibles sur GitHub. Ce qui ouvre donc la porte aux attaques par interception, de type « Man in the middle ». De leur côté, les développeurs de Torrents Time ont essayé de répondre point par point aux accusations faites à l’encontre de leur logiciels. Mais leurs arguments ne sont pas très crédibles et leurs propos presque injurieux. Mieux vaut donc s’abstenir.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.