Coup de tonnerre pour les utilisateurs du célèbre logiciel µTorrent. Ce dernier est actuellement parsemé de failles donnant la possibilité aux cybercriminels de contrôler à distance un ordinateur. Pourtant, il y a quelques mois de cela, un spécialiste de la sécurité informatique a déjà lancé une alerte allant dans ce sens.
Un serveur mal protégé en est à l’origine
Le nom du spécialiste en question est Tavis Ormandy. Ce dernier travaille chez Google Project Zero en tant que chercheur en sécurité. C’est lui qui est à la source de la révélation des vulnérabilités critiques dans le logiciel de téléchargement BitTorrent Transmission il y a maintenant plusieurs semaines. Il avait affirmé que des failles similaires ont été détectées sur des logiciels du même type, mais peu de personnes l’ont écouté. Beaucoup changeraient sûrement d’avis actuellement, après la découverte de ces mêmes failles sur µTorrent.
Par ailleurs, la source de ces failles serait la même qu’avec transmission : un serveur JSON RPC mal protégé chargé des téléchargements des fichiers.
Quid de la version Web
En ce qui concerne µTorrent Web, un serveur web local assurant l’envoi des requêtes JSON RPC se sert d’interface utilisateur. Il existe cependant un souci. Le système de tour de passe-passe du nom de Rebinding peut entraîner le remplacement du serveur web local et la transmission des requêtes au daemon par un site web piégé. Ce qui n’est pas de bon augure pour les utilisateurs. Heureusement que les développeurs ont pensé à l’intégration d’un token d’authentification dans les requêtes RPC du serveur web local. Cela a contribué à une protection efficace contre une attaque triviale récente basée sur l’exploitation de ces failles. Il existe cependant, un autre bémol : l’accès libre de ce token depuis la racine du serveur web. Ce qui donnera, par exemple, à un cybercriminel d’effectuer le téléchargement d’un programme dans le dossier de démarrage de Windows. Il y aura ainsi, au démarrage suivant de l’ordinateur, une exécution automatique dudit programme. D’une autre manière donc, les cybercriminels disposent d’un nouveau moyen pour exécuter à distance un code arbitraire sur tous les PC ayant µTorrent Web.
Attaque plus limitée pour µTorrent Classic
Les utilisateurs d’µTorrent Classic n’ont pas à trop s’inquiéter. Aucune attaque pouvant faire d’importants dégâts ne peut en effet atteindre le logiciel malgré l’existence de ces failles. Il est en effet impossible de transmettre des requêtes au daemon, l’interface utilisateur étant une application Desktop. L’accès à distance à l’ordinateur, ou plutôt aux fichiers torrents qui s’y trouvent, reste cependant possible depuis un site piégé au proxy du serveur JSON RPC. Heureusement qu’il existe actuellement un correctif des failles pour µTorrent Classic, même s’il n’est encore disponible que sous une version Bêta. En ce qui concerne µTorrent Web, aucune solution digne de ce nom n’existe. Le mieux est donc, pour le moment, de ne pas y accéder. On espère cependant qu’un correctif verra le jour dans les semaines ou mois qui viennent, car les développeurs du client BitTorrent y travaillent déjà.
