Ce début de semaine a été marqué par une nouvelle qui fait peur à des millions d'utilisateurs. Selon le centre allemand de veille, d'alerte et de réponse aux attaques informatiques CERT Bund, le logiciel de lecture multimédia VLC Media Player connaîtrait une faille de sécurité. Face à cette information, les créateurs VideoLAN ont nuancé l'information et démenti la gravité de la situation.
Une faille qui vous mettrait en danger
Selon le CERT Bund, le problème existerait dans la version 3.0.7.1 de VLC. Cette vulnérabilité permettrait à des acteurs extérieurs malveillants d'installer, modifier ou démarrer des programmes sans votre autorisation. Le trou de sécurité pourrait causer un partage de vos données à qui aurait les moyens d'utiliser cette faille. Bien qu'aucun exemple n'ait été confirmé, les utilisateurs de Windows, Linux et Unix seraient tous de potentielles victimes.
Selon le document qui partage ce problème, VideoLAN serait conscient de la situation et travaillerait sur un patch actuellement à 60% d'avancée. En attendant, il est conseillé aux utilisateurs de désinstaller le programme, le temps pour les développeurs de régler cette faille jugée "critique" dans l'échelle des alertes informatiques. Une fois publiée, l'information a été largement partagée par de nombreux médias, ce qui a donné une visibilité internationale à une faille... inexistante, selon VideoLAN, qui ne s'était jusqu'alors pas exprimée.
"C'est un rapport basé sur rien"
En commentaire du document qui montre le bug, Jean-Baptiste Kempf, président de VideoLAN, indique que le problème n'a pas pu être reproduit et que ce dernier ne fait pas planter le logiciel, ce qui est pourtant montré dans l'exemple. L'anomalie pointée du doigt est en fait une fuite de mémoire interne lorsque l'option "lecture en boucle" est activée. Dans le pire des cas, le logiciel peut planter, mais en aucun cas faire une faille permettant à des utilisateurs tiers de s'y infiltrer. Le président s'est exprimé auprès de Numerama sur la résolution soit-disant à 60%, qui serait une valeur arbitraire inscrite par l'auteur.
Il n'y a pas de faille de sécurité avérée, donc il n'y aura pas de correctif. C'est n'importe quoi. C'est un rapport basé sur rien.
VideoLAN a contacté le CERT Bund afin d'avoir des explications, mais aucune explication n'a été donnée. Une réponse, peut-être, est le changement de jugement de la faille, passée de "critique" à "moyen". Pour terminer l'argumentaire, VideoLAN a publié un message sur Twitter qui résume leur situation.
À propos du "problème de sécurité" de VLC : VLC n'est pas vulnérable. Le problème se situe dans une bibliothèque tierce appelée libebml, qui a été fixé il y a plus d'un an et demi. VLC a corrigé ce problème depuis la version 3.0.3, et CERT Bund n'a pas vérifié ses propos.
About the "security issue" on #VLC : VLC is not vulnerable.
July 24, 2019
tl;dr: the issue is in a 3rd party library, called libebml, which was fixed more than 16 months ago.
VLC since version 3.0.3 has the correct version shipped, and @MITREcorp did not even check their claim.
Thread:
L'organisme auteur des accusations n'a rien communiqué depuis, laissant entendre pour l'instant, que VideoLAN s'est défendue justement.
Par Azop, il y a 5 ans :
Vaut mieux croire les médias ou les développeurs du logiciel dont on parle ? Ils savent de quoi ils parlent quand même, j'pense pas qu'ils soient malveillants au point d'inciter les gens à garder leur logiciel s'il est vraiment dangereux !
Répondre à ce commentaire