Google Project Zero a attiré l’attention des utilisateurs d’uTorrent sur une énorme faille de sécurité dont est victime l’application de BitTorrent. Cette faille permettrait aux pirates d’accéder aux fichiers des utilisateurs et d’y insérer un code malveillant les rendant ainsi vulnérables au piratage informatique. Les hackers peuvent donc fouiller à leur guise dans les données des utilisateurs et même voir leur historique de téléchargements.
D’après Google Project Zero, deux versions du logiciel ont été touchées par ces failles de sécurité. Ces dernières permettraient à n’importe quel site web visité par l’utilisateur de contrôler l’ordinateur via le logiciel Windows et uTorrent Web.
Selon Tavis Ormandy, un chercheur en sécurité de Google, les failles qui sont survenues sur uTorrent utilisent la technique du DNS Rebinding pour prendre le contrôle de l’application, télécharger et exécuter le code malveillant.
Les ordinateurs des utilisateurs en danger
uTorrent et BitTorrent utilisent un serveur local et des requêtes JSON qui peuvent facilement être détournés par les hackers. Cela leur a permis de profiter de la faille de sécurité dont a été victime uTorrent pour insérer des malwares dans les ordinateurs des utilisateurs du logiciel.
Ces malwares peuvent porter atteinte à l’intégrité des ordinateurs s’ils sont intégrés dans le dossier de démarrage de Windows. Cela pourrait rendre le matériel inutilisable lors de son prochain démarrage. Sachant qu’uTorrent compte actuellement plusieurs millions d’utilisateurs, des millions de données ont donc aussi été laissées à la merci des hackers.
BitTorrent n’a pas mis de temps à réagir
Le 20 février 2018, Dave Rees, vice-président de l’ingénierie chez BitTorrent, a annoncé dans un mail que la faille a été corrigée grâce à une version bêta de uTorrent et BitTottent patchée contre les failles de sécurités.
« Le 4 décembre 2017, nous avons été informés d’une série de vulnérabilités dans les clients uTorrent et BitTorrent pour les ordinateurs de bureau Windows. Notre retouche du code a été effectuée et est disponible dans la version bêta la plus récente (build 3.5.3.44352 mise en ligne le 16 février 2018). »
D’après Google Project Zero, ces failles de sécurité sont présentes sur différentes plateformes alors que cette version bêta ne concerne pour l’instant que les PC sous Windows. En attendant l’arrivée de la version officielle sur les autres terminaux, il faudra donc éviter d’utiliser uTorrent.