VLC : la faille de sécurité démentie

25 novembre 2020 à 14h00
12
VLC Logo

Ce 24 juillet 2019, VLC a ouvert un thread sur Twitter pour faire le point sur la faille de sécurité « élevée » découverte dans son lecteur multimédia. Plus encore, l'organisme à but non lucratif dément l'existence de cette faille. Elle met en cause le MITRE, un organisme gouvernemental de cybersécurité, qui a ouvert un signalement sans réaliser la moindre vérification.

Finalement, la faille critique détectée dans VLC Media Player n'existe pas, et c'est tant mieux !

La faille de sécurité de VLC n'existe pas

Il y a quelques jours, le lecteur multimédia VLC était pointé du doigt concernant une faille de sécurité classée comme « élevée », présente dans sa version 3.0.7.1. Cette faille pouvait a priori permettre à un attaquant d'exécuter du code à distance sur un ordinateur équipé du logiciel, lui donnant accès aux données de l'appareil.

Découverte par le CERT-Bund, une agence de cybersécurité allemande, cette information a été reprise par le MITRE (son homologue aux Etats-Unis) qui a ouvert un signalement. À travers le CVE-2019-13615, l'agence américaine invitait les utilisateurs à désinstaller le Media Player, le temps qu'un correctif soit apporté à cette faille.

Dans un thread sur Twitter, VLC explique que le lecteur multimédia n'est absolument pas vulnérable. En effet, le problème soulevé se trouvait « dans une librairie tierce, appelée libebml, qui a été corrigée il y a plus de 16 mois ». De plus, c'est le chercheur qui a ouvert le sujet sur leur bugtracker - qui est public - qui a indiqué que le correctif était développé à 60%. Une information sans fondement.

Les agences de cybersécurité en cause

Pour assurer ses dires, VLC a tenté de reproduire le problème, sans y parvenir. Les équipes du Media Player ont alors contacté cette personne, et découvert qu'elle utilisait Ubuntu 18.04, « une ancienne version d'Ubuntu [ qui ] ne possède clairement pas toutes les bibliothèques mises à jour ». Une situation intolérable pour les membres bénévoles de VLC, qui rencontrent ce genre de problème de manière répétée, depuis des années.

« Pour quelque raison que ce soit, CERT-Bund a décidé de lancer un avertissement, sans vérifier ni le crash (ce n'est pas difficile), ni la vulnérabilité, ni même nous contacter. Et bien sûr, le CERT-Bund ne nous a pas contactés pour des clarifications ». Idem pour le MITRE, aux Etats-Unis.

« Est-ce que le MITRE se comporterait de la même façon si nous étions Microsoft ou une autre grande entreprise ? Mais non, nous ne sommes qu'un petit organisme à but non lucratif qui n'a même pas les moyens de payer quelqu'un à temps plein... ».


Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
12
10
LeGrosWinnie
Pourquoi utiliser “Media Player” ? Ce n’est ni un nom propre, ni une expression qui n’existe pas en français…<br /> C’est juste un “lecteur multimédia”…
Vanilla
Parce que c’est comme cela qu’il l’appelle sur leur site<br /> https://www.videolan.org/vlc/index.fr.html
wedgantilles
Parceque le nom du logiciel est bien “VLC Media Player” tout simplement.
3615Buck
LOL, il n’y a pas que le CERT-Bund et le mitre.<br /> Clubic aussi s’est empressé de crier au loup sans aucune vérification.<br /> Clubic.com – 22 Jul 19<br /> Une faille critique détectée dans VLC Media Player<br /> En savoir plus<br /> Shame Shame Shame<br /> Pardon<br /> “Honte Honte Honte”, sinon LeGrosWinnie va piquer sa crise.
johnny
Qualifier 18.04 d’ancienne version c’est un peu exagéré. C’est la dernière LTS. Le problème vient du fait que les dépendances ne soient pas à jour.
Akkyshan
Puisque ce lien est intégré explicitement dans l’article, c’est un aveu. Le thread de VLC, qui conduit aux critiques sur les journalistes est également intégré à l’article.<br /> Effectivement, Clubic a relayé cette information qui, finalement, était fausse.<br /> Toutefois, il faut rappeler que le MITRE et le CERT-Bund sont des organismes gouvernementaux de cybersécurité. Ce sont des experts. Un CVE a été ouvert. Et quand ils lancent une alerte, c’est supposément vérifié… et urgent.<br /> (désormais, la prudence sera de mise, c’est sûr)
xylf
Faut pas confondre entre la version de l’OS et les applications. Et encore imagine sous debian…
Blap
Clubic ne sont pas des experts en sécurité… ton troll est tres nul.
3615Buck
Troll ?<br /> Et depuis quand un journaliste est-il dispensé de vérifier les informations qu’il publie ?<br /> Bien sûr, c’est encore plus grave de la part d’experts en sécurité, mais ça ne dispense pas les différents sites (parce que Clubic n’est pas le seul à avoir relayé l’information) de vérifier les informations.
toast
Tu veux dire qu’on peut poster n’importe quelle connerie sur tous les sujets sur lesquels nous ne sommes pas des experts ?
Xlsium
De toute façon les experts c’est très surfait.<br /> Si fallait faire la liste de conneries que racontent les experts,<br /> elle serait interminable. (les experts de l’économie sur la crise de 2008,<br /> les experts du médicament sur le mediator, les experts de chez Crosoft<br /> quand il balançent leurs mises à jours…)
Blap
La source est un organisme d’experts en securité, tu ne va pas demander a des agregateurs de news de reproduire la procedure de chercheurs, si tu faisais ca a chaque fois tu ne ferais meme pas un article par jour et il faudrait des tas de compétences extremement poussés dans plein de de domaines différents.<br /> Il s’avere que dans ce cas la source etait mauvaise, et curieusement on n’avait pas reussi a prouver le contraire, c’est un sujet pointu et a part attendre des reponses de differents organismes qui peuvent ne jamais arriver, on ne peut pas faire grand chose d’autres que rapporter la nouvelle au risque de se retrouver avec une faille importante en suspens si on ne le faisait pas (on entends deja les commentaires “#$%&amp;#! Clubic vous etes des glands vous avez pas prévenu blablabla”)<br /> Et oh miracle, le démenti est arrivé et ils ont rectifié le tir. Ce qui aurait été malicieux c’est de ne pas faire de correctif, ou d’en faire un caché comme bon nombre de médias font.<br /> Y a un moment faut arreter de vouloir jouer au plus idiot
PirBip
Ce qui est vraiment affligeant, c’est qu’un chercheur en sécurité soit aussi incompétent ! Du coup, on peut commencer à remettre en question leur crédibilité ainsi que leur utilité.<br /> VLC a eu raison de pousser un gros coup de gueule.
Voir tous les messages sur le forum

Derniers actualités

Il y a désormais un smartphone encore plus écoresponsable que le Fairphone 4
Faut-il vraiment que Brave bloque les consentements de cookies ? C'est ce qu'il va faire très bientôt
C'était de la SF ou du jeu vidéo, la tourelle commandée par IA est désormais une triste réalité en Palestine
Insolite : il imagine et fabrique une boîte à rythmes... en LEGO
Imaginé pour les pros du vélo, ce nouveau moteur électrique Bosch a de quoi vous envoyer dans le décor
Bitdefender Total Security est un excellent antivirus portant particulièrement bien son nom !
Ce weekend semble particulièrement bien choisi pour souscrire à cette licence NordVPN !
Top 5 des applications à tester sur son smartphone cette semaine !
Forfait mobile : payez ce que vous consommez avec cette offre Prixtel
La part de mineurs dans l'audience de Pornhub est impressionnante, selon le rapport du Sénat
Haut de page