Plusieurs sites de téléchargement torrent privés sont actuellement en proie à une faille de sécurité offrant un accès très facile à des données sensibles.
Celle-ci a été découverte par un chercheur en sécurité ayant tenté d'avertir les sites (ou traqueurs) en question. Sans réponse de leur part, la personne s'est tournée vers des sites d'information spécialisés comme TorrentFreak.
Une faille de sécurité torrentielle
Généralement difficiles d'accès, certains sites torrent privés, autrement appelés « traqueurs », ont récemment fait les frais d'une faille de sécurité majeure. Celle-ci concerne le logiciel Torrent Auto Uploader, un outil utilisé par des fournisseurs de contenus externes ou d'autres sites torrent pour alimenter un site principal en contenus frais.
Ce logiciel télécharge automatiquement de nouveaux torrents, ainsi que leur description et les fichiers NFO d'un site pour les intégrer à un autre. Cela passe par une interface web dépourvue de mot de passe de protection. Plus précisément, la faille permet notamment d'accéder aux outils du personnel, qui s'intéressent entre autres aux profils d'utilisateurs, afin de connaître leurs informations et les torrents actuellement actifs.
Les URL des traqueurs tiers, via de simples requêtes, mènent également à d'autres sites torrent, révélant les clés protégeant normalement le flux RSS de chaque fichier. Les répercussions de cette faille sont donc nombreuses.
Correctif en cours d'application
N'importe qui peut donc, via un navigateur internet, accéder à ces informations, contenant des données sensibles tant pour les sites torrent affectés et leurs fournisseurs que pour les utilisateurs. Avant que le chercheur en sécurité ne lance l'alerte, trois sites majeurs de téléchargement torrent étaient ainsi affectés.
À l'heure où nous écrivons ces lignes, le message a finalement pu être transmis aux traqueurs concernés, et deux sites sur trois ont pu de leur côté corriger la faille de sécurité. Par définition, contacter ces sites se veut en effet particulièrement difficile. Le chercheur ayant détecté la faille n'était en effet membre d'aucun d'entre eux.
Pour cela, il faut soit être invité par un autre membre, et donc faire partie d'un cercle très fermé et anonyme pour des raisons évidentes. Une alternative est de payer une certaine somme. Heureusement, l'information relayée notamment par TorrentFreak a permis de boucher en partie cette faille torrentielle avant qu'elle n'empire.
Source : TorrentFreak
Face à la croissance exponentielle des cybermenaces, il est plus important que jamais de protéger ses terminaux avec une suite de sécurité antivirus digne de ce nom. Découvrez notre sélection des meilleures protections multiplateforme en mars 2024.
Lire la suite
Bien que le téléchargement (direct ou en P2P) ne soit pas illégal en soi, il est interdit de télécharger des œuvres protégées par le droit d'auteur ou d’autres droits de propriété intellectuelle sans l’autorisation des titulaires de ces droits. Clubic recommande expressément aux utilisateurs de son site et aux tiers de respecter scrupuleusement ces droits ; étant rappelé qu’en France la violation des droits d’auteurs est constitutive du délit de contrefaçon puni d’une peine de 300 000 euros d’amende et de 3 ans d'emprisonnement (art. L. 335-2 s. CPI) et qu’il existe également des sanctions spécifiques en cas de contournement de mesures techniques de protection (art. L. 335-3-1 et L.335-3-2 CPI). En outre, le titulaire de l’abonnement à internet doit veiller à l’usage licite de sa connexion, sauf à s’exposer au risque de contravention de négligence caractérisée sanctionnée par une peine d’amende de 1 500 € pour les personnes physiques. En cas d’utilisation d’un logiciel P2P pour télécharger ou mettre à disposition des œuvres protégées par le droit d’auteur, sans autorisation, le titulaire de la connexion à internet pourra être destinataire de recommandations de l’Arcom et, en cas de constats répétés, être poursuivi sur le fondement de la contravention de négligence caractérisée. Plus d'informations sur le téléchargement illégal