VLC : la faille de sécurité démentie

12
VLC Logo

Ce 24 juillet 2019, VLC a ouvert un thread sur Twitter pour faire le point sur la faille de sécurité « élevée » découverte dans son lecteur multimédia. Plus encore, l'organisme à but non lucratif dément l'existence de cette faille. Elle met en cause le MITRE, un organisme gouvernemental de cybersécurité, qui a ouvert un signalement sans réaliser la moindre vérification.

Finalement, la faille critique détectée dans VLC Media Player n'existe pas, et c'est tant mieux !

La faille de sécurité de VLC n'existe pas

Il y a quelques jours, le lecteur multimédia VLC était pointé du doigt concernant une faille de sécurité classée comme « élevée », présente dans sa version 3.0.7.1. Cette faille pouvait a priori permettre à un attaquant d'exécuter du code à distance sur un ordinateur équipé du logiciel, lui donnant accès aux données de l'appareil.

Découverte par le CERT-Bund, une agence de cybersécurité allemande, cette information a été reprise par le MITRE (son homologue aux Etats-Unis) qui a ouvert un signalement. À travers le CVE-2019-13615, l'agence américaine invitait les utilisateurs à désinstaller le Media Player, le temps qu'un correctif soit apporté à cette faille.

Dans un thread sur Twitter, VLC explique que le lecteur multimédia n'est absolument pas vulnérable. En effet, le problème soulevé se trouvait « dans une librairie tierce, appelée libebml, qui a été corrigée il y a plus de 16 mois ». De plus, c'est le chercheur qui a ouvert le sujet sur leur bugtracker - qui est public - qui a indiqué que le correctif était développé à 60%. Une information sans fondement.

Les agences de cybersécurité en cause

Pour assurer ses dires, VLC a tenté de reproduire le problème, sans y parvenir. Les équipes du Media Player ont alors contacté cette personne, et découvert qu'elle utilisait Ubuntu 18.04, « une ancienne version d'Ubuntu [ qui ] ne possède clairement pas toutes les bibliothèques mises à jour ». Une situation intolérable pour les membres bénévoles de VLC, qui rencontrent ce genre de problème de manière répétée, depuis des années.

« Pour quelque raison que ce soit, CERT-Bund a décidé de lancer un avertissement, sans vérifier ni le crash (ce n'est pas difficile), ni la vulnérabilité, ni même nous contacter. Et bien sûr, le CERT-Bund ne nous a pas contactés pour des clarifications ». Idem pour le MITRE, aux Etats-Unis.

« Est-ce que le MITRE se comporterait de la même façon si nous étions Microsoft ou une autre grande entreprise ? Mais non, nous ne sommes qu'un petit organisme à but non lucratif qui n'a même pas les moyens de payer quelqu'un à temps plein... ».


Modifié le 25/11/2020 à 14h00
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
12
10
Voir tous les messages sur le forum

Actualités du moment

La Renault 4L Plein Air décapotable a le droit à sa version électrique
Alors que sa suite sort l’an prochain, Dying Light aura droit à un nouveau DLC
Apple accusée de favoriser ses propres applications dans le moteur de recherche de l'App Store
🔥 Soldes Amazon : Clavier multimédia sans fil Logitech K400 Plus à 19,90€ au lieu de 35,90€
NASA : de magnifiques images pour fêter les 20 ans du télescope Chandra
Honor 9X/9X Pro : le premier smartphone (de la marque) à module photo pop-up
Opération réussie pour LightSail 2 qui a correctement déployé sa voile solaire
🔥 Soldes Fnac : Ecouteurs true wireless Mpow T6 à 31,99€
Non, Red Dead Redemption 2 n’aura pas droit à un DLC sur le thème des aliens
Haut de page