All time Branchez-vous Branche Toi BetterBe Nerds Carrières

VLC et d’autres lecteurs vidéo vulnérables à une cyberattaque par sous-titres

Par Laurent LaSalle – le dans Actualités
Si vous êtes le genre de personnes à télécharger des sous-titres pour mieux comprendre les dialogues d'un film ou d'une télésérie qui s'est retrouvé PAR HASARD sur votre disque dur, gare à vous.

Selon les dernières trouvailles de la firme de sécurité Check Point, il est possible d’insérer du code malveillant à un fichier de sous-titres dans le but de prendre le contrôle à distance de l’appareil qui en fait la lecture.

Cette vulnérabilité est présente dans une panoplie de lecteurs vidéo, dont le populaire VLC, Kodi (XBMC), Popcorn Time et Stremio. Check Point estime qu’environ 200 millions d’utilisateurs seraient actuellement à risque, ce qui en fait l’une des vulnérabilités les plus répandues, facilement accessibles, et à résistance nulle ayant été signalées au cours des dernières années.

Le problème repose sur la confiance de ces lecteurs vidéo envers les répertoires leur fournissant des sous-titres. Ces services sont essentiellement communautaires, ce qui signifie que n’importe qui peut y soumettre les sous-titres de films ou téléséries populaires, dans une variété de langues. Comme ces fichiers sont perçus comme de simples fichiers textes, «les utilisateurs, les logiciels antivirus, et d’autres solutions de sécurité les ignorent sans en examiner leur nature réelle, laissant des millions d’utilisateurs exposés à ce risque», mentionnent les chercheurs.

En faisant confiance aveuglément aux répertoires publics de sous-titres, plusieurs lecteurs vidéo mettent à risque l’intégralité de votre système.

Puisqu’il existe plus de 25 formats de fichiers ou normes en ce qui a trait aux sous-titres, la plupart des lecteurs vidéo souhaitent être compatibles avec chacun d’eux afin d’offrir une meilleure expérience utilisateur, ouvrant ainsi la porte à une multitude de vulnérabilités potentielles.

«En menant des attaques par sous-titres, les pirates peuvent prendre le contrôle total de tout appareil qui les exécute», explique Check Point. «À partir de ce moment, l’attaquant peut faire tout ce qu’il veut avec la machine de la victime, qu’il s’agisse d’un PC, d’un téléviseur intelligent, ou d’un appareil mobile. Les dommages potentiels pouvant être infligés par l’attaquant sont infinis, allant du vol d’informations sensibles, à l’installation de rançongiciel, [à la participation involontaire] à des attaques par déni de service de masse, et bien plus encore.»

Heureusement, Check Point a alerté les éditeurs des principaux logiciels concernés afin qu’ils puissent colmater les brèches découvertes par ses chercheurs. VLC et Stremio ont déjà déployé leurs mises à jour de sécurité, tandis que Kodi et Popcorn Time devraient mettre en ligne les leurs sous peu.

À noter que la vulnérabilité démontrée par Check Point est une preuve de concept. Il n’y a aucune preuve que ce type de cyberattaque soit actuellement exploitée par des pirates. Cela dit, maintenant que la possibilité a été soulevée, ce n’est peut-être qu’une question de temps pour que des personnes mal intentionnées tentent de percer le mystère de ce type d’attaque et composent leurs propres fichiers malveillants.

Les dernières nouvelles

Faille WhatsApp : sur iPhone, les images effacées restent sur le téléphone

Faille WhatsApp : sur iPhone, les images effacées restent sur le téléphone

Branchez-vous -
Lunettes de réalité augmentée : Facebook et Ray-Ban s’associent

Lunettes de réalité augmentée : Facebook et Ray-Ban s’associent

Branchez-vous -
10 secrets et faits méconnus de la franchise The Legend of Zelda

10 secrets et faits méconnus de la franchise The Legend of Zelda

Daniel Carosella -

Plus d'actualités

Les OnePlus 7T et 7T Pro se dévoilent en images : voici leur fiche technique

Les OnePlus 7T et 7T Pro se dévoilent en images : voici leur fiche technique

Branchez-vous -
Nintendo Switch : la manette SNES sans fil est là!

Nintendo Switch : la manette SNES sans fil est là!

Branchez-vous -
Facebook relance Portal, sa gamme d’écrans connectés

Facebook relance Portal, sa gamme d’écrans connectés

Matthieu Carlier -

Populaires

My Activity : Voici tout ce que Google sait sur vous

My Activity : Voici tout ce que Google sait sur vous

Laurent LaSalle -
Huawei lance des PC sous Linux pour remplacer Windows

Huawei lance des PC sous Linux pour remplacer Windows

Branchez-vous -
Google Chrome 77 : voici toutes les nouveautés de la mise à jour

Google Chrome 77 : voici toutes les nouveautés de la mise à jour

Branchez-vous -

Laurent LaSalle

Depuis qu'il a tapoté sur son Commodore Vic-20 à l'âge de 3 ans, Laurent est (un peu trop) obsédé par la technologie. Passionné d'informatique et de jeux vidéo, il a notamment été blogueur pour Radio-Canada et chroniqueur techno pour MusiquePlus .