VLC : la faille de sécurité démentie

24 juillet 2019 à 14h04
12
VLC Logo

Ce 24 juillet 2019, VLC a ouvert un thread sur Twitter pour faire le point sur la faille de sécurité « élevée » découverte dans son lecteur multimédia. Plus encore, l'organisme à but non lucratif dément l'existence de cette faille. Elle met en cause le MITRE, un organisme gouvernemental de cybersécurité, qui a ouvert un signalement sans réaliser la moindre vérification.

Finalement, la faille critique détectée dans VLC Media Player n'existe pas, et c'est tant mieux !

La faille de sécurité de VLC n'existe pas

Il y a quelques jours, le lecteur multimédia VLC était pointé du doigt concernant une faille de sécurité classée comme « élevée », présente dans sa version 3.0.7.1. Cette faille pouvait a priori permettre à un attaquant d'exécuter du code à distance sur un ordinateur équipé du logiciel, lui donnant accès aux données de l'appareil.

Découverte par le CERT-Bund, une agence de cybersécurité allemande, cette information a été reprise par le MITRE (son homologue aux Etats-Unis) qui a ouvert un signalement. À travers le CVE-2019-13615, l'agence américaine invitait les utilisateurs à désinstaller le Media Player, le temps qu'un correctif soit apporté à cette faille.

Dans un thread sur Twitter, VLC explique que le lecteur multimédia n'est absolument pas vulnérable. En effet, le problème soulevé se trouvait « dans une librairie tierce, appelée libebml, qui a été corrigée il y a plus de 16 mois ». De plus, c'est le chercheur qui a ouvert le sujet sur leur bugtracker - qui est public - qui a indiqué que le correctif était développé à 60%. Une information sans fondement.

Les agences de cybersécurité en cause

Pour assurer ses dires, VLC a tenté de reproduire le problème, sans y parvenir. Les équipes du Media Player ont alors contacté cette personne, et découvert qu'elle utilisait Ubuntu 18.04, « une ancienne version d'Ubuntu [ qui ] ne possède clairement pas toutes les bibliothèques mises à jour ». Une situation intolérable pour les membres bénévoles de VLC, qui rencontrent ce genre de problème de manière répétée, depuis des années.

« Pour quelque raison que ce soit, CERT-Bund a décidé de lancer un avertissement, sans vérifier ni le crash (ce n'est pas difficile), ni la vulnérabilité, ni même nous contacter. Et bien sûr, le CERT-Bund ne nous a pas contactés pour des clarifications ». Idem pour le MITRE, aux Etats-Unis.

« Est-ce que le MITRE se comporterait de la même façon si nous étions Microsoft ou une autre grande entreprise ? Mais non, nous ne sommes qu'un petit organisme à but non lucratif qui n'a même pas les moyens de payer quelqu'un à temps plein... ».


Modifié le 25/11/2020 à 14h00
Soyez toujours courtois dans vos commentaires
et respectez le réglement de la communauté.
12
10
Voir tous les messages sur le forum

Actualités récentes

Soldes Amazon : la TOP des souris Logitech en réduction pour la 2ème démarque
Ring présente sa Video Doorbell Wired : plus petite et plus… câblée
Le Noctilux 50 mm f/1.2 de Leica renaît de ses cendres
Enceintes actives : notre comparatif des meilleurs modèles en 2021
Soldes 2ème démarque : un écran gamer iiyama G-Master 24
Le Cybertruck de Tesla entrera en production de masse en 2022 selon Elon Musk
Soldes Cdiscount : un PC portable bureautique Asus Vivobook à moins de 300€
Apple : 1 milliard d'iPhone activement utilisés à travers le monde et des ventes records en 2020
Reconnaissance faciale : le Conseil de l'Europe demande une
Soldes Amazon : le prix de l'enceinte Ultimate Ears Wonderboom 2 chute pour la 2ème démarque
Haut de page