Torrents Time : le plug-in serait dangereux pour votre sécurité
Plusieurs développeurs s'étant intéressés de près au plug-in Torrents Time, permettant de lire des fichiers torrent depuis un navigateur, lui ont découvert plusieurs failles de sécurité.
La promesse est alléchante : “Téléchargez et regardez des torrents directement depuis votre navigateur”. Le format torrent, apparu depuis voilà de nombreuses années sur la toile, permet, moyennant des sources de téléchargement conséquentes et une patience éventuellement exemplaire, d’acquérir de manière illégale films, musique, photos et autres types de fichiers.
Cette pratique, telle que venant d’être présentée, n’est donc pas sans afficher de notables désagréments. Voilà pourquoi l’existence de Torrents Time apparaît presque comme une bénédiction pour tous les internautes privilégiant le côté obscur pour étoffer leur culture. Mais si ce plug-in s’est, à son apparition, illustré par sa facilité d’utilisation, il s’avère aujourd’hui bien plus nocif qu’il ne pouvait y paraître de prime abord.
Sécurité : le plug-in Torrent Time présenterait d’importantes failles
Des développeurs lui ont ainsi découvert des failles de sécurité majeures, comme le rapporte 01net.com. Andrew Sampson révèle par exemple dans une note de blog qu’une ligne de code rédigée en Javascript pourrait faire télécharger n’importe quel contenu sur l’ordinateur d’un utilisateur de Torrents Time. D’autres lignes permettraient quant à elles de connaître le fichier torrent téléchargé par tel internaute et de déterminer le navigateur utilisé. Et le développeur d’ajouter que sur Mac OS X, le plug-in s’installe en mode “root”, lui donnant ainsi accès à l’intégralité du système, et que les sites l’utilisant s’exposeraient davantage à des attaques du genre “Cross site scripting” (XSS).
Des réponses pas forcément convaincantes
Sur la plate-forme reddit, Torrents Time est désigné tel un proxy s’installant sur la machine de l’utilisateur avant d’aller chercher les torrents sur la toile, de les convertir en flux MP4 et de les rapporter au navigateur. D’après le développeur connu sous le pseudo Wack0, si le service proxy installé et l’extension de navigateur assurent leurs communications par connexion chiffrée TLS, cette dernière contiendrait certificats et clés privés. Les développeurs du plug-in ont depuis publié un copieux fichier texte dans lequel nombre d’interrogations relatives à Torrents Time trouvent une réponse, sans pour autant inciter à maintenir sa confiance en ce logiciel.