Les services de streaming les plus populaires exposent leurs utilisateurs à un danger conçu par des hackers pour le moins inspirés. Cette faille concerne potentiellement des millions d’utilisateurs à travers le monde, comme le souligne la firme de sécurité informatique Check Point, à l’origine de cette alerte.
« En créant des fichiers de sous-titres malveillants, qui sont ensuite téléchargés par le lecteur multimédia de la victime, les attaquants peuvent prendre le contrôle complet de tout type d’appareil [PC, télé connectée, appareil mobile] grâce à des failles présentes dans de nombreuses plateformes de streaming populaires » explique-t-elle. Parmi celles-ci, on trouve VLC (déjà détourné par la CIA), Popcorn Time, Kodi et strem.io.
Selon les calculs de l’entreprise, 200 millions d’utilisateurs recourent à une version vulnérable, ce qui fait de ces sous-titres piégés « l’une des failles les plus répandues, accessibles et sans résistance […] de ces dernières années. » Check Point s’est livré à une démonstration vidéo qui montre comment le hacker prend le contrôle à distance de votre ordinateur une fois que le sous-titre incriminé a agi.
Des versions sécurisées sont disponibles
La méthode pousse encore plus loin le concept habituel consistant à inciter l’utilisateur à télécharger et à installer un logiciel malveillant à son insu : les répertoires de sous-titres dans lesquels puisent ces différents services sont habituellement considérés comme fiables, autant par les services de streaming que par les spectateurs.
Les hackers capitalisent de fait sur ce faux sentiment de sécurité pour y glisser des sous-titres malveillants, qu’ils parviennent à faire remonter dans la liste des fichiers utilisés en priorité par les plateformes en leur attribuant une excellente note de manière détournée.
Check Point ne manque pas de souligner le côté pernicieux de la méthode : « Cette technique requiert très peu voire pas du tout d’action volontaire de la part de l’utilisateur, ce qui la rend encore plus dangereuse. » L’entreprise précise en outre : « L’attaque repose sur la faible sécurité dans la manière dont les différents lecteurs multimédia gèrent les fichiers de sous-titres et sur le nombre important de formats [existants]. » Il en existe en effet plus de 25 d’usage courant.
Heureusement, il est possible de se protéger de ces sous-titres malveillants : Check Point ayant averti les services concernés de ces failles, qui étaient pour certaines déjà corrigées. Les versions mises à jour pour pallier ce problème de sécurité sont à télécharger sur les sites respectifs des logiciels et, le plus souvent, à installer manuellement.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !