L'imagination des hackers et pirates en tout genre n'a pas de limite. La preuve : on peut même être à leur merci en se faisant une toile sur son PC en version originale sous-titrée. C'est Check Point qui a lancé l'alerte ce 23 mai en révélant un nouveau vecteur d'attaque permettant d'exploiter une vulnérabilité des lecteurs vidéo open source les plus populaires parmi lesquels VLC, Kodi (XBMC), Popcorn-Time et Streamio. « Nous estimons qu'il y a approximativement 200 millions de lecteurs vidéo et de diffusion de contenus qui font actuellement tourner un logiciel vulnérable, faisant de celui-ci le plus répandu et facilement accessible de ces dernières années », a indiqué l'éditeur de sécurité dans un blog. « Nos chercheurs ont révélé un nouveau vecteur possible d'attaque, utilisant une technique complètement fermée dans laquelle la cyberattaque est effectuée lorsque les sous-titres d'un film sont chargés par le lecteur média de l'utilisateur ».
Mais ce n'est pas tout car Check Point précise également que les répertoires contenant ces sous-titres peuvent également être manipulés et constituent pour les attaquants une cible de choix. Sachant qu'il existe aujourd'hui plus de 25 formats de sous-titres, chacun ayant ses fonctions et capacités spécifiques, et que chaque lecteur vidéo les gère de façon différente, multipliant mécaniquement le nombre des vulnérabilités. « Il y a de nombreux répertoires de sous-titres partagés comme OpenSubtitles.org qui indexent et classent les sous-titres de films. Certains lecteurs méda les téléchargent automatiquement, ces répertoires ont un potentiel élevé de menaces », explique Check Point. « Nos chercheurs ont également montré qu'en manipulant l'algorithme de classement cela pouvait faire grimper des sous-titres malveillants automatiquement téléchargés par les lecteurs media ».
Schéma de la vulnérabilité aux sous-titres malveillants. (crédit : Check Point)
Un dommage potentiel sans limite
« Le nombre total d'utilisateurs affectés se compterait en centaines de millions », alerte Check Point. « En menant des attaques au travers des sous-titres , les hackers peuvent prendre un contrôle total de n'importe quel terminal qui les fait tourner. A partir de là, un attaquant peut faire ce qu'il veut avec la machine de la victime que ce soit un PC, une TV connectée ou un terminal mobile. Le dommage potentiel qu'un attaquant peut infliger est sans limite allant du vol de données sensibles, à l'installation de ransomwares, à des attaques par déni de services en masse et bien plus encore ». La plupart de ces vulnérabilités ont déjà été corrigées, aussi est-il recommandé d'appliquer les dernières mises à jour disponibles, sachant que pour Popcorn Time il est possible de le télécharger via ce lien et de l'appliquer manuellement.