vlc

Drama autour de VLC : faut-il que vous désinstalliez le logiciel ?

Alors, faille ou pas faille ?

De par sa nature gratuite et open-source, VLC est un des, si ce n’est le plus populaire des lecteurs multimédias. Et cocorico, l’application est l’œuvre d’une organisation française, VideoLAN.

Tout chauvinisme mis de côté, le programme se trouve sous les feux des projecteurs après qu’une faille de sécurité gigantesque a été annoncée dans la presse, rendant le programme VLC hypothétiquement vulnérable aux attaques informatiques. Compte tenu du nombre d’utilisateurs, on comprend aisément qu’une vulnérabilité dans le lecteur vidéo puisse provoquer un vent de panique.

Publicité

Une généalogique de ce mouvement de foule 2.0 s’impose.

Dans un premier temps, la vulnérabilité a été annoncée par CERT-Bund, une entreprise de cybersécurité allemande. L’information a ensuite été retransmise et vérifiée par l’organisation américaine MITRE, qui explique dans son billet daté du 16 juillet que cette vulnérabilité provenait d’un dépassement de tampon ("buffer overflow") ayant pour conséquence soit de faire fermer VLC, soit d’entraîner l’exécution d’un code distant.

Ce bogue aurait pu rester assez confidentiel, s’il n’avait pas été relayé par l’influent média américain Gizmodo qui s’est fendu d’un article sur le sujet.

Publicité

À la suite de ça, la faille présente dans VLC s’est vu accorder un verdict sévère avec une note de 9,8 sur 10 sur le site officiel du gouvernement américain National Vulnerability Database. Un tel niveau de gravité entraîne normalement une réactivité immédiate de l’entreprise responsable de l’application.

Une fausse alerte ?

La réponse de VideoLAN ne s’est pas fait attendre. L’organisation réfute purement et simplement les affirmations de MITRE et soutient que ces accusations se basent sur une version ancienne (et obsolète) de VLC. Le bogue aurait été réparé il y a maintenant déjà 16 mois et toutes les versions postérieures à 3.0.3 seraient à l’abri.

Publicité

Les concepteurs de VLC ont également condamné les pratiques de MITRE, reprochant de n’avoir pas été contactés avant la publication de la diatribe.

Publicité

Le tweet ci-dessus rappelle que cette manière de faire est contraire au code éthique en vigueur au sein de la communauté de la sécurité informatique. Les chercheurs se doivent de « faire un effort de bonne foi pour alerter le vendeur touché et travailler avec lui pour s’assurer qu’une mise à jour soit émise avant de divulguer la vulnérabilité ».

Conclusion ? Si votre version de VLC est correctement mise à jour, vous pouvez mater vos vidéos tranquille. Si vous n’en avez pas fait depuis au moins seize mois, c’est le moment de se réveiller.

Par Bertrand Steiner, publié le 26/07/2019

Copié

Pour vous :