Popcorn Time est plus vulnérable que vous le pensez

Popcorn Time est actuellement utilisé par des millions de personnes à travers le monde, et pas uniquement par des ingénieurs en informatique. Non, même ma boulangère l’utilise et il est possible qu’il en aille de même pour vous et pour certains de vos proches. Si c’est le cas, alors vous feriez sans doute mieux de lire tout de suite cet article.

Ce nom ne vous dit rien ? Peut-être faut-il commencer par rappeler brièvement l’histoire de la solution pour remettre les pendules à l’heure. Si vous la connaissez, rien ne vous empêche de sauter jusqu’à la seconde partie de l’article.

Failles Popcorn Time

Un expert en sécurité a mis le doigt sur plusieurs failles préoccupantes concernant Popcorn Time.

Popcorn Time est né au Brésil au début de l’année dernière. Il se présentait sous la forme d’un client indépendant faisant figure d’intermédiaire entre l’internaute et toutes les oeuvres cinématographiques partagées via le protocole Bittorrent.

Popcorn Time est utilisé par des millions de personnes à travers le monde

La solution a tout de suite rencontré son public et elle a très vite attiré l’attention des ayant-droits. Nos développeurs ont alors décidé de mettre un terme au projet pour ne pas finir leurs jours en prison.

Oui mais voilà, avant de tirer leur révérence, ils ont mis en ligne toutes les sources de la solution et nous avons alors vu émerger plusieurs forks construits sur ses cendres fumantes. Certains d’entre eux vont d’ailleurs très loin en intégrant un VPN et en proposant des applications dédiées sur Windows, OS X, Linux, iOS ou même Android.

La suite de l’histoire, vous la connaissez sans doute déjà. La solution s’est fortement démocratisée au fil de ces derniers mois et beaucoup de gens l’ont installé sur leur ordinateur.

Attention aux failles !

Antonios Chariton est un chercheur en sécurité et son boulot consiste à trouver les failles présentes au sein des solutions logicielles que nous utilisons quotidiennement.

Suite à un banal concours de circonstance, il a eu l’occasion de se pencher sur le cas de Popcorn Time et il a trouvé un certain nombre de failles très inquiétantes.

Popcorn Time utilise en partie l’infrastructure de Cloudflare pour éviter d’être victime d’un blocage par DNS. Le problème, c’est que toutes les données sont échangées en HTTP et cela veut aussi dire que le système est vulnérable à une attaque de type « man in the middle ».

Pas rassurant, mais il y a pire car le solution ne vérifie pas l’intégrité des données échangées. En bidouillant l’application NodeJS sur laquelle repose la solution, une personne mal intentionnée pourrait parfaitement modifier son comportement en altérant par exemple son moteur de recherche ou même en injectant des scripts malicieux.

Des solutions ont été proposées

Sur le papier, ce n’est pas très rassurant mais Antonios ne s’est pas contenté de pointer ses failles. L’expert a aussi fait des propositions pour les colmater. Les développeurs de la solution n’auront donc qu’à aller lire son billet – fort bien documenté au demeurant – pour repartir sur de bonnes bases.

Et si vous êtes curieux vous-mêmes, alors rien ne vous empêche d’aller fouiner ici pour avoir tous les détails de l’affaire.

Via

Mots-clés popcorn timeweb