Les programmes P2P du réseau FastTrack, KaZaA en tête, recevront dans les prochaines 24 heures une mise à jour pour colmater une fuite très importante dans le réseau.

Selon un expert en sécurité australien connu sous le pseudonyme de Random Nut (mais davantage reconnu pour la création de K++), il s’agit d’un sérieux trou dans la sécurité du réseau. Une porte-parole de Sharman Networks, la firme propriétaire de KaZaA a déclaré que le problème n’était pas très important mais conseille tout de même à tous les utilisateurs de migrer le plus rapidement possible vers la version mise à jour qui sortira demain.

De quoi s’agit-il ? Le réseau FastTrack, sur lequel se connectent les utilisateurs de KaZaA, Grokster et iMesh, se base sur des supernodes, c’est-à-dire des utilisateurs servant de portail d’accès au réseau et sur lesquels environ 200 utilisateurs « normaux » peuvent se connecter. Le reseau envoie de temps en temps des paquets de données pour informer les utilisateurs qu’une mise à jour est disponible. Si une personne mal intentionnée ayant qualité de supernode manipule un tel paquet et les renvoie vers les clients de KaZaA, il a la possibilité de prendre le contrôle de leurs ordinateurs. Cette manipulation a réussi dans environ la moitié des cas testés.

Il s’agit en fait, comme il l’explique sur ce message daté du dimanche 25 mai, d’une classique faille de sécurité provoquée par une saturation de la mémoire, lorsque le paquet dit « zero » qui doit rescencer 200 adresses IP de clients en reçoit en réalité bien plus.

Random Nut declare avoir trouvé cette faille en décembre 2002 lorsqu’il développait K++, mais affrme ne pas avoir publié pour l’instant le code permettant cette manipulation, « parce que n’importe quel gosse dans le monde pourrait l’utiliser pour faire tomber le réseau ». Toutefois l’absence de réaction des développeurs de KaZaA et de FastTrack, et l’apparition des clients FastTrack open-source l’ont poussé à rendre la faille publique pour les faire réagir. Décision bien sage, et pari gagné…

Partager sur les réseaux sociaux

Articles liés