Un développeur a révélé que le plug-in Torrents Time, qui permet aux internautes de streamer des torrents, contient d’énormes failles de sécurité.
On vous en parlait il y a quelques jours, le célèbre site de torrents The Pirate Bay est devenu le plus gros portail de streaming au monde grâce à l’arrivée d’un nouveau plug-in Web baptisé Torrents Time. Celui-ci peut être utilisé sur Windows ou Mac, et permet de streamer les torrents de la plate-forme sans avoir besoin d’un client pour les télécharger.
The Pirate Bay a emboîté le pas à Popcorn Time Online, la version Web de Popcorn Time, qui a été le premier à adopter la technologie.
Si l’outil parait idéal pour les internautes, ce « plug-in révolutionnaire » est confronté à d’énormes failles de sécurité. Andrew Sampson, créateur de l’application Aurous, qui a disséqué le plug-in Torrents Time, a découvert une multitude de failles qui pourraient mettre en péril la sécurité des utilisateurs. La question la plus préoccupante concerne le mécanisme CORS (cross-origin resource sharing), qui permet aux ressources d’une page Web d’être appelées par un autre domaine. Pour autant, cette brèche est loin d’être la seule trouvée lors de son analyse de Torrents Time.
En plus d’être vulnérable aux attaques de type XSS, le logiciel pourrait être utilisé par une personne mal intentionnée pour forcer un usager à télécharger un contenu spécifique ou encore accéder à ses données sensibles (adresse IP, situation géographique).
Les développeurs de Torrents Time ont décidé de réagir en répondant point par point aux accusations faites à l’encontre de leur logiciel. Malgré leurs explications, il est préférable de se tenir loin de ce plug-in.
