Faille critique de VLC : VideoLAN dément les accusations
Ce début de semaine a été marqué par une nouvelle qui fait peur à des millions d'utilisateurs. Selon le centre allemand de veille, d'alerte et de réponse aux attaques informatiques CERT Bund, le logiciel de lecture multimédia VLC Media Player connaîtrait une faille de sécurité. Face à cette information, les créateurs VideoLAN ont nuancé l'information et démenti la gravité de la situation.
Une faille qui vous mettrait en danger
Selon le CERT Bund, le problème existerait dans la version 3.0.7.1 de VLC. Cette vulnérabilité permettrait à des acteurs extérieurs malveillants d'installer, modifier ou démarrer des programmes sans votre autorisation. Le trou de sécurité pourrait causer un partage de vos données à qui aurait les moyens d'utiliser cette faille. Bien qu'aucun exemple n'ait été confirmé, les utilisateurs de Windows, Linux et Unix seraient tous de potentielles victimes.
Selon le document qui partage ce problème, VideoLAN serait conscient de la situation et travaillerait sur un patch actuellement à 60% d'avancée. En attendant, il est conseillé aux utilisateurs de désinstaller le programme, le temps pour les développeurs de régler cette faille jugée "critique" dans l'échelle des alertes informatiques. Une fois publiée, l'information a été largement partagée par de nombreux médias, ce qui a donné une visibilité internationale à une faille... inexistante, selon VideoLAN, qui ne s'était jusqu'alors pas exprimée.
"C'est un rapport basé sur rien"
En commentaire du document qui montre le bug, Jean-Baptiste Kempf, président de VideoLAN, indique que le problème n'a pas pu être reproduit et que ce dernier ne fait pas planter le logiciel, ce qui est pourtant montré dans l'exemple. L'anomalie pointée du doigt est en fait une fuite de mémoire interne lorsque l'option "lecture en boucle" est activée. Dans le pire des cas, le logiciel peut planter, mais en aucun cas faire une faille permettant à des utilisateurs tiers de s'y infiltrer. Le président s'est exprimé auprès de Numerama sur la résolution soit-disant à 60%, qui serait une valeur arbitraire inscrite par l'auteur.
Il n'y a pas de faille de sécurité avérée, donc il n'y aura pas de correctif. C'est n'importe quoi. C'est un rapport basé sur rien.
VideoLAN a contacté le CERT Bund afin d'avoir des explications, mais aucune explication n'a été donnée. Une réponse, peut-être, est le changement de jugement de la faille, passée de "critique" à "moyen". Pour terminer l'argumentaire, VideoLAN a publié un message sur Twitter qui résume leur situation.
À propos du "problème de sécurité" de VLC : VLC n'est pas vulnérable. Le problème se situe dans une bibliothèque tierce appelée libebml, qui a été fixé il y a plus d'un an et demi. VLC a corrigé ce problème depuis la version 3.0.3, et CERT Bund n'a pas vérifié ses propos.
About the "security issue" on #VLC : VLC is not vulnerable.
— VideoLAN (@videolan) July 24, 2019
tl;dr: the issue is in a 3rd party library, called libebml, which was fixed more than 16 months ago.
VLC since version 3.0.3 has the correct version shipped, and @MITREcorp did not even check their claim.
Thread:
L'organisme auteur des accusations n'a rien communiqué depuis, laissant entendre pour l'instant, que VideoLAN s'est défendue justement.
Admettre qu'une faille ayant un potentiel aussi dangereux est mauvais pour l'aspect commercial et financier.
Alors certes, le programme est gratuit mais il bénéficie d'autres moyens de rentabilité (lesquels je ne peux développer en dehors de potentiels partenariat avec d'autres firmes ou de la publicité, mais il va de soit que l'équipe derrière VLC recoit de l'argent de quelque part et ne travaille pas bénévolement sur le programme)
Bref, donc d'un coté ce genre de problème peut apporter un désinvestissement massif d'un coté et de l'autre, les "victimes" (s'il y en a) peuvent déposer des plaintes et des attaques en justices qui coûteraient aussi de l'argent
Si une société admet qu'elle savait qu'une faille aussi dangereuse éxistait sur son logiciel et qu'elle n'a rien dit à personne, son image va en prendre un sacré coup.
Donc les devs préfèrent nier la dangerosité du problème plutôt que de passer pour des incompétent tout simplement.
Entre choisir leur image ou ta sécurité, crois moi que pour la majorité des entreprises, le choix est vite fait.