Faille critique de VLC : VideoLAN dément les accusations

24 juillet 2019 à 16h00 dans Informatique

Ce début de semaine a été marqué par une nouvelle qui fait peur à des millions d'utilisateurs. Selon le centre allemand de veille, d'alerte et de réponse aux attaques informatiques CERT Bund, le logiciel de lecture multimédia VLC Media Player connaîtrait une faille de sécurité. Face à cette information, les créateurs VideoLAN ont nuancé l'information et démenti la gravité de la situation.

Une faille qui vous mettrait en danger

Selon le CERT Bund, le problème existerait dans la version 3.0.7.1 de VLC. Cette vulnérabilité permettrait à des acteurs extérieurs malveillants d'installer, modifier ou démarrer des programmes sans votre autorisation. Le trou de sécurité pourrait causer un partage de vos données à qui aurait les moyens d'utiliser cette faille. Bien qu'aucun exemple n'ait été confirmé, les utilisateurs de Windows, Linux et Unix seraient tous de potentielles victimes.

Selon le document qui partage ce problème, VideoLAN serait conscient de la situation et travaillerait sur un patch actuellement à 60% d'avancée. En attendant, il est conseillé aux utilisateurs de désinstaller le programme, le temps pour les développeurs de régler cette faille jugée "critique" dans l'échelle des alertes informatiques. Une fois publiée, l'information a été largement partagée par de nombreux médias, ce qui a donné une visibilité internationale à une faille... inexistante, selon VideoLAN, qui ne s'était jusqu'alors pas exprimée.

"C'est un rapport basé sur rien"

En commentaire du document qui montre le bug, Jean-Baptiste Kempf, président de VideoLAN, indique que le problème n'a pas pu être reproduit et que ce dernier ne fait pas planter le logiciel, ce qui est pourtant montré dans l'exemple. L'anomalie pointée du doigt est en fait une fuite de mémoire interne lorsque l'option "lecture en boucle" est activée. Dans le pire des cas, le logiciel peut planter, mais en aucun cas faire une faille permettant à des utilisateurs tiers de s'y infiltrer. Le président s'est exprimé auprès de Numerama sur la résolution soit-disant à 60%, qui serait une valeur arbitraire inscrite par l'auteur.

Il n'y a pas de faille de sécurité avérée, donc il n'y aura pas de correctif. C'est n'importe quoi. C'est un rapport basé sur rien.

VideoLAN a contacté le CERT Bund afin d'avoir des explications, mais aucune explication n'a été donnée. Une réponse, peut-être, est le changement de jugement de la faille, passée de "critique" à "moyen". Pour terminer l'argumentaire, VideoLAN a publié un message sur Twitter qui résume leur situation.

À propos du "problème de sécurité" de VLC : VLC n'est pas vulnérable. Le problème se situe dans une bibliothèque tierce appelée libebml, qui a été fixé il y a plus d'un an et demi. VLC a corrigé ce problème depuis la version 3.0.3, et CERT Bund n'a pas vérifié ses propos.

About the "security issue" on #VLC : VLC is not vulnerable.
tl;dr: the issue is in a 3rd party library, called libebml, which was fixed more than 16 months ago.
VLC since version 3.0.3 has the correct version shipped, and @MITREcorp did not even check their claim.

Thread:

— VideoLAN (@videolan) July 24, 2019

L'organisme auteur des accusations n'a rien communiqué depuis, laissant entendre pour l'instant, que VideoLAN s'est défendue justement.

Source(s) : Numerama LifeHacker
count
Commentaires (4)
Vaut mieux croire les médias ou les développeurs du logiciel dont on parle ? Ils savent de quoi ils parlent quand même, j'pense pas qu'ils soient malveillants au point d'inciter les gens à garder leur logiciel s'il est vraiment dangereux !
photo de profil de Azop Par Azop, il y a 5 ans Répondre
Si tu savais...
Admettre qu'une faille ayant un potentiel aussi dangereux est mauvais pour l'aspect commercial et financier.

Alors certes, le programme est gratuit mais il bénéficie d'autres moyens de rentabilité (lesquels je ne peux développer en dehors de potentiels partenariat avec d'autres firmes ou de la publicité, mais il va de soit que l'équipe derrière VLC recoit de l'argent de quelque part et ne travaille pas bénévolement sur le programme)

Bref, donc d'un coté ce genre de problème peut apporter un désinvestissement massif d'un coté et de l'autre, les "victimes" (s'il y en a) peuvent déposer des plaintes et des attaques en justices qui coûteraient aussi de l'argent
photo de profil de Nash Par Nash, il y a 5 ans (en réponse à Azop) Répondre
Tu n'a strictement rien compris au monde qui t'entoure mon cher..

Si une société admet qu'elle savait qu'une faille aussi dangereuse éxistait sur son logiciel et qu'elle n'a rien dit à personne, son image va en prendre un sacré coup.

Donc les devs préfèrent nier la dangerosité du problème plutôt que de passer pour des incompétent tout simplement.

Entre choisir leur image ou ta sécurité, crois moi que pour la majorité des entreprises, le choix est vite fait.
photo de profil de Pantek Par Pantek, il y a 5 ans (en réponse à Azop) Répondre
C'est moi ou vous dites que l'équipe VLC sont des incompétents ?
photo de profil de EliottMess3 Par EliottMess3, il y a 5 ans (en réponse à Pantek) Répondre
Laisser un commentaire

Vous répondez à . Annuler