Passer au contenu

Torrents Time, le plug-in pirate, épinglé pour sa sécurité déficiente

Le logiciel rend les sites vulnérables aux attaques par Cross Site Scripting et les utilisateurs aux attaques par interception. Sans compter les fuites de données personnelles.

Si vous avez installé Torrents Time, le « plug-in révolutionnaire » qui permet de streamer des Torrents dans votre navigateur, il serait peut-être temps de le désinstaller. Plusieurs développeurs ont en effet analysé ce logiciel et repéré d’énormes failles de sécurité. Le premier à se pencher sur le problème est Andrew Sampson.

À lire : Torrents Time, le plug-in qui pourrait faire exploser le nombre de «Netflix pirates»

Dans une note de blog, cet informaticien énumère toute une série de problèmes avec l’interface de programmation de ce plug-in. Ainsi, une ligne de code en Javascript suffirait pour permettre à n’importe quel site de faire télécharger n’importe quoi sur la machine d’un utilisateur de ce plug-in. Quelques lignes permettraient de savoir quels torrents l’utilisateur est en train de télécharger et au travers de quel navigateur.

Andrew Sampson a également découvert que le plug-in s’installe en mode « root » sur Mac OS X, ce qui signifie qu’il a accès à tout le système. Ce qui est très peu recommandé. Enfin, les sites qui utilisent Torrents Time, tel que The Pirate Bay, seraient vulnérables à des attaques de type « Cross site scripting » (XSS).

Torrents Time est en réalité un proxy

Sur Reddit, plusieurs développeurs ont également inspecté à la loupe ce logiciel. Il s’avère que Torrents Time n’est pas juste un plug-in capable de « streamer des torrents directement depuis le navigateur ». C’est en réalité un proxy qui s’installe sous la forme d’un service sur l’ordinateur, qui va chercher les torrents sur les sites web, qui les transforme en flux MP4 et les transfèrent au navigateur. L’extension de navigateur ne sert qu’à piloter le service proxy.

À lire : Torrents Time : attaquée, l’équipe derrière le plug-in pirate réplique aux majors du cinéma

Selon le développeur « Wack0 », les deux communiquent par connexion chiffrée TLS, ce qui est assez courant pour ce genre de proxy. Ce qui est bête, en revanche, c’est que le binaire intègre d’emblée les certificats et les clés privés pour cette connexion. Celles-ci sont désormais disponibles sur GitHub. Ce qui ouvre donc la porte aux attaques par interception, de type « Man in the middle ». De leur côté, les développeurs de Torrents Time ont essayé de répondre point par point aux accusations faites à l’encontre de leur logiciels. Mais leurs arguments ne sont pas très crédibles et leurs propos presque injurieux. Mieux vaut donc s’abstenir.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Opera One - Navigateur web boosté à l’IA
Opera One - Navigateur web boosté à l’IA
Par : Opera
Télécharger gratuitement
Gilbert KALLENBORN
Les dernières actualités
Le démarchage téléphonique est désormais limité par de nouvelles règles entrées en vigueur le 1er mars dernier. appel telephone
Face au démarchage téléphonique, les Français ne prennent plus les appels des numéros inconnus
Iphone 14 Ifixit
Apple est accusée d’exploiter des « minéraux de conflit »
Shein site web textile plateforme
Shein, sous contrôle renforcé de l’UE, a quatre mois pour montrer patte blanche
Aptoide
Un magasin d’application alternatif célèbre sur Android arrive sur iPhone
Site Pirate Streaming Illegal
Torrent : dopé à l’IA, ce moteur de recherche anonyme est impossible à stopper
Glance
Un premier pas vers les pubs sur l’écran de verrouillage de smartphones Android pas chers aux États-Unis
ecran google pixel 8 et 8 Pro
Gemini, la nouvelle IA de Google arrive enfin sur les anciens appareils Android
Android 15
Android 15 intégrerait une option pour forcer le Dark Mode sur toutes les applications
Top téléchargements