Plusieurs sites de téléchargement torrent privés sont actuellement en proie à une faille de sécurité offrant un accès très facile à des données sensibles.
Celle-ci a été découverte par un chercheur en sécurité ayant tenté d'avertir les sites (ou traqueurs) en question. Sans réponse de leur part, la personne s'est tournée vers des sites d'information spécialisés comme TorrentFreak.
Une faille de sécurité torrentielle
Généralement difficiles d'accès, certains sites torrent privés, autrement appelés « traqueurs », ont récemment fait les frais d'une faille de sécurité majeure. Celle-ci concerne le logiciel Torrent Auto Uploader, un outil utilisé par des fournisseurs de contenus externes ou d'autres sites torrent pour alimenter un site principal en contenus frais.
Ce logiciel télécharge automatiquement de nouveaux torrents, ainsi que leur description et les fichiers NFO d'un site pour les intégrer à un autre. Cela passe par une interface web dépourvue de mot de passe de protection. Plus précisément, la faille permet notamment d'accéder aux outils du personnel, qui s'intéressent entre autres aux profils d'utilisateurs, afin de connaître leurs informations et les torrents actuellement actifs.
Les URL des traqueurs tiers, via de simples requêtes, mènent également à d'autres sites torrent, révélant les clés protégeant normalement le flux RSS de chaque fichier. Les répercussions de cette faille sont donc nombreuses.
Correctif en cours d'application
N'importe qui peut donc, via un navigateur internet, accéder à ces informations, contenant des données sensibles tant pour les sites torrent affectés et leurs fournisseurs que pour les utilisateurs. Avant que le chercheur en sécurité ne lance l'alerte, trois sites majeurs de téléchargement torrent étaient ainsi affectés.
À l'heure où nous écrivons ces lignes, le message a finalement pu être transmis aux traqueurs concernés, et deux sites sur trois ont pu de leur côté corriger la faille de sécurité. Par définition, contacter ces sites se veut en effet particulièrement difficile. Le chercheur ayant détecté la faille n'était en effet membre d'aucun d'entre eux.
Pour cela, il faut soit être invité par un autre membre, et donc faire partie d'un cercle très fermé et anonyme pour des raisons évidentes. Une alternative est de payer une certaine somme. Heureusement, l'information relayée notamment par TorrentFreak a permis de boucher en partie cette faille torrentielle avant qu'elle n'empire.
Source : TorrentFreak