Bénéficiant d’une relative notoriété grâce à Popcorn Time, The Pirate Bay et KickAss Torrents, l’application Torrent Times suscite toutefois des inquiétudes dans son mode de fonctionnement.

Si vous vous intéressez à l’actualité du P2P, vous avez forcément entendu parler de Torrents Time. Ce programme open-source, qui intègre un client BitTorrent et un lecteur vidéo, permet de streamer des vidéos depuis des sites de liens BitTorrent, si ceux-ci ajoutent de leur côté le code nécessaire qui permettra à l’application de fonctionner dans le navigateur web.

L’application a gagné en notoriété ces dernières semaines. Et pour cause : c’est elle qui est à l’origine de Popcorn Time Online, qui est une sorte de Netflix du piratage, et qui a atterri sur des sites bien connus des adeptes du piratage, comme The Pirate Bay et KickAss Torrent. Un succès qui se comprend, car Torrents Time se veut plus simple d’utilisation qu’un client BitTorrent.

popcorn_time_online

Popcorn Time Online, un site qui utilise Torrents Time.

En effet, Torrents Time ne demande qu’à être installé sur l’ordinateur. Rien de plus il suffit ensuite de se rendre sur un site compatible avec le logiciel et lancer la lecture de la vidéo, dans le navigateur, comme un site de VOD classique. Alors qu’avec un client BitTorrent, il y a des réglages à vérifier, des étapes à franchir et une prise en main de l’interface à faire. Bref, c’est moins user-friendly.

Sur le papier, tout ça semble formidable. Mais dans les faits, il y a de quoi s’inquiéter. Outre les problèmes de droit d’auteur que le logiciel pose, il s’avère que certaines parties du code source n’ont pas été divulguées, notamment celles relatives au partage du contenu. Tout juste se contentaient-ils de dire, à propos du code effectivement partagé, que « rien […] ne sera propriétaire » .

Officiellement, les développeurs ont choisi de ne pas partager cette partie afin de protéger ceux qui souhaitent contribuer au projet, ajoutant « qu’il n’y a rien de problématique avec Torrents Time ». Mais comme dit l’adage, les promesses n’engagent que ceux qui les écoutent. Et il ne suffit pas de proclamer quelque-chose pour que celle-ci soit vraie. Il faut pouvoir s’en assurer.

KickAssTorrents

KickAss-Torrents utilise le logiciel aussi.

Sans aller jusqu’à dire que les pans de code restés secrets comportent du code indésirable, peut-être contiennent-ils des faiblesses qui peuvent mettre en péril la confidentialité ou la sécurité des utilisateurs utilisant Torrents Time ?

Or, c’est justement ce que soulèvent deux récentes publications, l’une sur Reddit l’autre sur le blog d’Andrew Sampson, celui qui a mis au point Aurous, une application pour écouter de musique en illimité, gratuitement et de façon totalement illicite. Apparue l’an dernier, elle a finalement disparu du panorama.

Hormis le fait que l’application, qui se présente comme un module pour navigateur, s’avère être en réalité un exécutable à télécharger et à installer sur le PC, ce qui n’a pas les mêmes implications en terme de sécurité informatique, il s’avère, selon les premières analyses sur Reddit et par Andrew Sampson, que la manière dont a été programmé l’outil est loin d’être totalement satisfaisante.

aurousvisuel.jpg

les mises en garde de l’auteur d’Aurous.

Il est par exemple reproché au logiciel de faire trop souvent appel du mécanisme CORS (pour cross-origin resource sharing), qui permet à des ressources sur une page web d’être appelées par un autre domaine en dehors de celui-ci sur lequel figurent les ressources en question. Et c’est loin d’être le seul défaut trouvé lors de l’analyse de Torrents Time ; car en effet, Andrew Sampson a relevé d’autres soucis,

Le logiciel peut potentiellement servir à faire télécharger de force à un usager un contenu piraté. Des manipulations permettent aussi de faire apparaître des données sensibles (adresse IP, page visitée, position géographique) ou de réaliser une attaque XSS. De plus, un problème au niveau de l’utilisation du processeur a été relevé.

Tous les points relevés par les membres de Reddit ou par Andrew Sampson ne signifient pas que ceux à l’origine de l’application ont intentionnellement orienté la programmation pour laisser de telles brèches. Ils révèlent en revanche les risques potentiels que peut causer une application dont certains aspects sont méconnus ou secrets. Et cela ne risque pas de s’arranger.

Andrew Sampson promet en effet, en guise de conclusion, qu’il évoquera bientôt les futures brèches qu’il aura détectées. Et de finir sur ce conseil : « sérieusement, retirez ce logiciel de votre ordinateur ; si vous l’avez mis sur votre site, enlevez-le et si vous songez à l’ajouter, abstenez-vous ».

sérieusement, retirez ce logiciel de votre ordinateur ; si vous l’avez mis sur votre site, enlevez-le et si vous songez à l’ajouter, abstenez-vous.
Découvrez les bonus

+ rapide, + pratique, + exclusif

Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.

Découvrez les nombreux avantages de Numerama+.

S'abonner à Numerama+

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !