Bénéficiant d'une relative notoriété grâce à Popcorn Time, The Pirate Bay et KickAss Torrents, l'application Torrent Times suscite toutefois des inquiétudes dans son mode de fonctionnement.

Si vous vous intéressez à l’actualité du P2P, vous avez forcément entendu parler de Torrents Time. Ce programme open-source, qui intègre un client BitTorrent et un lecteur vidéo, permet de streamer des vidéos depuis des sites de liens BitTorrent, si ceux-ci ajoutent de leur côté le code nécessaire qui permettra à l’application de fonctionner dans le navigateur web.

L’application a gagné en notoriété ces dernières semaines. Et pour cause : c’est elle qui est à l’origine de Popcorn Time Online, qui est une sorte de Netflix du piratage, et qui a atterri sur des sites bien connus des adeptes du piratage, comme The Pirate Bay et KickAss Torrent. Un succès qui se comprend, car Torrents Time se veut plus simple d’utilisation qu’un client BitTorrent.

popcorn_time_online
Popcorn Time Online, un site qui utilise Torrents Time.

En effet, Torrents Time ne demande qu’à être installé sur l’ordinateur. Rien de plus il suffit ensuite de se rendre sur un site compatible avec le logiciel et lancer la lecture de la vidéo, dans le navigateur, comme un site de VOD classique. Alors qu’avec un client BitTorrent, il y a des réglages à vérifier, des étapes à franchir et une prise en main de l’interface à faire. Bref, c’est moins user-friendly.

Sur le papier, tout ça semble formidable. Mais dans les faits, il y a de quoi s’inquiéter. Outre les problèmes de droit d’auteur que le logiciel pose, il s’avère que certaines parties du code source n’ont pas été divulguées, notamment celles relatives au partage du contenu. Tout juste se contentaient-ils de dire, à propos du code effectivement partagé, que « rien […] ne sera propriétaire » .

Officiellement, les développeurs ont choisi de ne pas partager cette partie afin de protéger ceux qui souhaitent contribuer au projet, ajoutant « qu’il n’y a rien de problématique avec Torrents Time ». Mais comme dit l’adage, les promesses n’engagent que ceux qui les écoutent. Et il ne suffit pas de proclamer quelque-chose pour que celle-ci soit vraie. Il faut pouvoir s’en assurer.

KickAssTorrents
KickAss-Torrents utilise le logiciel aussi.

Sans aller jusqu’à dire que les pans de code restés secrets comportent du code indésirable, peut-être contiennent-ils des faiblesses qui peuvent mettre en péril la confidentialité ou la sécurité des utilisateurs utilisant Torrents Time ?

Or, c’est justement ce que soulèvent deux récentes publications, l’une sur Reddit l’autre sur le blog d’Andrew Sampson, celui qui a mis au point Aurous, une application pour écouter de musique en illimité, gratuitement et de façon totalement illicite. Apparue l’an dernier, elle a finalement disparu du panorama.

Hormis le fait que l’application, qui se présente comme un module pour navigateur, s’avère être en réalité un exécutable à télécharger et à installer sur le PC, ce qui n’a pas les mêmes implications en terme de sécurité informatique, il s’avère, selon les premières analyses sur Reddit et par Andrew Sampson, que la manière dont a été programmé l’outil est loin d’être totalement satisfaisante.

aurousvisuel.jpg
les mises en garde de l’auteur d’Aurous.

Il est par exemple reproché au logiciel de faire trop souvent appel du mécanisme CORS (pour cross-origin resource sharing), qui permet à des ressources sur une page web d’être appelées par un autre domaine en dehors de celui-ci sur lequel figurent les ressources en question. Et c’est loin d’être le seul défaut trouvé lors de l’analyse de Torrents Time ; car en effet, Andrew Sampson a relevé d’autres soucis,

Le logiciel peut potentiellement servir à faire télécharger de force à un usager un contenu piraté. Des manipulations permettent aussi de faire apparaître des données sensibles (adresse IP, page visitée, position géographique) ou de réaliser une attaque XSS. De plus, un problème au niveau de l’utilisation du processeur a été relevé.

Tous les points relevés par les membres de Reddit ou par Andrew Sampson ne signifient pas que ceux à l’origine de l’application ont intentionnellement orienté la programmation pour laisser de telles brèches. Ils révèlent en revanche les risques potentiels que peut causer une application dont certains aspects sont méconnus ou secrets. Et cela ne risque pas de s’arranger.

Andrew Sampson promet en effet, en guise de conclusion, qu’il évoquera bientôt les futures brèches qu’il aura détectées. Et de finir sur ce conseil : « sérieusement, retirez ce logiciel de votre ordinateur ; si vous l’avez mis sur votre site, enlevez-le et si vous songez à l’ajouter, abstenez-vous ».

sérieusement, retirez ce logiciel de votre ordinateur ; si vous l’avez mis sur votre site, enlevez-le et si vous songez à l’ajouter, abstenez-vous.

Partager sur les réseaux sociaux

Articles liés