All time Nerds BetterBe Carrières

VLC et d’autres lecteurs vidéo vulnérables à une cyberattaque par sous-titres

Par Laurent LaSalle – le dans Actualités
Si vous êtes le genre de personnes à télécharger des sous-titres pour mieux comprendre les dialogues d'un film ou d'une télésérie qui s'est retrouvé PAR HASARD sur votre disque dur, gare à vous.

Selon les dernières trouvailles de la firme de sécurité Check Point, il est possible d’insérer du code malveillant à un fichier de sous-titres dans le but de prendre le contrôle à distance de l’appareil qui en fait la lecture.

Cette vulnérabilité est présente dans une panoplie de lecteurs vidéo, dont le populaire VLC, Kodi (XBMC), Popcorn Time et Stremio. Check Point estime qu’environ 200 millions d’utilisateurs seraient actuellement à risque, ce qui en fait l’une des vulnérabilités les plus répandues, facilement accessibles, et à résistance nulle ayant été signalées au cours des dernières années.

Le problème repose sur la confiance de ces lecteurs vidéo envers les répertoires leur fournissant des sous-titres. Ces services sont essentiellement communautaires, ce qui signifie que n’importe qui peut y soumettre les sous-titres de films ou téléséries populaires, dans une variété de langues. Comme ces fichiers sont perçus comme de simples fichiers textes, «les utilisateurs, les logiciels antivirus, et d’autres solutions de sécurité les ignorent sans en examiner leur nature réelle, laissant des millions d’utilisateurs exposés à ce risque», mentionnent les chercheurs.

En faisant confiance aveuglément aux répertoires publics de sous-titres, plusieurs lecteurs vidéo mettent à risque l’intégralité de votre système.

Puisqu’il existe plus de 25 formats de fichiers ou normes en ce qui a trait aux sous-titres, la plupart des lecteurs vidéo souhaitent être compatibles avec chacun d’eux afin d’offrir une meilleure expérience utilisateur, ouvrant ainsi la porte à une multitude de vulnérabilités potentielles.

«En menant des attaques par sous-titres, les pirates peuvent prendre le contrôle total de tout appareil qui les exécute», explique Check Point. «À partir de ce moment, l’attaquant peut faire tout ce qu’il veut avec la machine de la victime, qu’il s’agisse d’un PC, d’un téléviseur intelligent, ou d’un appareil mobile. Les dommages potentiels pouvant être infligés par l’attaquant sont infinis, allant du vol d’informations sensibles, à l’installation de rançongiciel, [à la participation involontaire] à des attaques par déni de service de masse, et bien plus encore.»

Heureusement, Check Point a alerté les éditeurs des principaux logiciels concernés afin qu’ils puissent colmater les brèches découvertes par ses chercheurs. VLC et Stremio ont déjà déployé leurs mises à jour de sécurité, tandis que Kodi et Popcorn Time devraient mettre en ligne les leurs sous peu.

À noter que la vulnérabilité démontrée par Check Point est une preuve de concept. Il n’y a aucune preuve que ce type de cyberattaque soit actuellement exploitée par des pirates. Cela dit, maintenant que la possibilité a été soulevée, ce n’est peut-être qu’une question de temps pour que des personnes mal intentionnées tentent de percer le mystère de ce type d’attaque et composent leurs propres fichiers malveillants.

Continuez votre lecture

Microsoft a corrigé un grave bug de sécurité dans Windows Defender

Microsoft a corrigé un grave bug de sécurité dans Windows Defender

Stagefright 2.0 : Les appareils Android à nouveau vulnérables

Stagefright 2.0 : Les appareils Android à nouveau vulnérables

Laurent LaSalle -
Près de 95% des téléphones Android sont vulnérables à une nouvelle faille de sécurité

Près de 95% des téléphones Android sont vulnérables à une nouvelle faille de sécurité

Laurent LaSalle -
Nouvelle faille affectant Android et iOS rend vulnérables leurs clés de chiffrement

Nouvelle faille affectant Android et iOS rend vulnérables leurs clés de chiffrement

Laurent LaSalle -
Reconnect, un outil pour pirater des comptes liés à Facebook

Reconnect, un outil pour pirater des comptes liés à Facebook

Laurent LaSalle -
Vulnérabilité importante au cœur de plusieurs applications OS X

Vulnérabilité importante au cœur de plusieurs applications OS X

Laurent LaSalle -
Adobe corrige une nouvelle vulnérabilité de son module Flash

Adobe corrige une nouvelle vulnérabilité de son module Flash

Laurent LaSalle -
Twitter, Spotify et d’autres services victimes d’une attaque DDoS ce matin (MÀJ)

Twitter, Spotify et d’autres services victimes d’une attaque DDoS ce matin (MÀJ)

Laurent LaSalle -
Le maliciel HummingBad aurait infecté 85 millions d’appareils Android

Le maliciel HummingBad aurait infecté 85 millions d’appareils Android

Laurent LaSalle -
iOS 9 vient atténuer une importante faille découverte récemment

iOS 9 vient atténuer une importante faille découverte récemment

Laurent LaSalle -
Kaspersky accusée d’avoir saboté les logiciels de ses rivaux à l’aide de faux virus

Kaspersky accusée d’avoir saboté les logiciels de ses rivaux à l’aide de faux virus

Laurent LaSalle -
Android est sécuritaire, arrêtez de prétendre le contraire

Android est sécuritaire, arrêtez de prétendre le contraire

Steve Rodrigue -
EternalRocks, ce ver informatique qui exploite jusqu’à 7 outils de la NSA

EternalRocks, ce ver informatique qui exploite jusqu’à 7 outils de la NSA

Laurent LaSalle -
Des millions de voitures Volkswagen vulnérables à une attaque sans fil et à distance

Des millions de voitures Volkswagen vulnérables à une attaque sans fil et à distance

Laurent LaSalle -
Carte mondiale des cyberattaques actuellement perpétrées en temps réel

Carte mondiale des cyberattaques actuellement perpétrées en temps réel

Laurent LaSalle -

Laurent LaSalle

Depuis qu'il a tapoté sur son Commodore Vic-20 à l'âge de 3 ans, Laurent est (un peu trop) obsédé par la technologie. Passionné d'informatique et de jeux vidéo, il a notamment été blogueur pour Radio-Canada et chroniqueur techno pour MusiquePlus .