L'association VideoLAN, qui s'occupe du développement du lecteur multimédia VLC, est sur le point de boucler la conception de la prochaine mise à jour du logiciel libre, qui le rendra moins vulnérable aux attaques de la CIA.

La mise à jour « anti-CIA » de VLC est sur les rails. Sur Twitter, l’association VideoLAN, qui supervise la conception du célèbre lecteur multimédia, signale que la prochaine version du logiciel libre, estampillée 2.2.5, « est quasiment prête ». Il faut simplement patienter encore quelques jours, le temps que les développeurs s’assurent que tout est en ordre. Des tests sont actuellement en cours pour s’en assurer.

En attendant VLC 2.2.5, l’association livre quelques conseils pour ceux qui veulent savoir comment réduire le risque d’un espionnage par la CIA — même s’il faut quand même dire les espions de l’agence centrale de renseignement ne s’intéressent pas à l’immense majorité des utilisateurs de VLC, leur travail étant beaucoup plus ciblé, à la différence d’une structure comme la NSA, qui ratisse indistinctement.

vlc
CC Pittaya

Il convient donc de ne pas utiliser la version portable de VLC — c’est-à-dire qui peut marcher de façon autonome sur un support amovible, comme une clé USB –, de garder à jour VLC en utilisant la dernière version disponible du logiciel (actuellement 2.2.4) et de vérifier la présence du fichier psapi.dll à côté de VLC.exe. Si c’est le cas, c’est qu’il y a un problème, explique VideoLAN.

Dans un communiqué publié sur son site, VideoLAN souligne « que les documents qui ont été divulgués ne décrivent pas une vulnérabilité qui est exploitable à distance ni qui figure dans l’installation normale de VLC ». L’association ajoute que la technique de la CIA, comme bon nombre d’autres outils que l’agence exploite, « nécessite un accès physique à l’ordinateur pris pour cible ».

Un accès physique est nécessaire pour piéger l’ordinateur cible

La CIA a également souligné que pour la réussite de l’attaque, il faut le PC utilise Windows XP ou une version plus récente du système d’exploitation de Microsoft. Les autres OS ne sont a priori pas concernés. Les distributions Linux ne le sont pas par exemple, sans doute parce que leurs parts de marché cumulées ne sont pas suffisamment élevées pour avoir incité la CIA à développer un outil de piratage spécifique.

Comme nous l’a expliqué cette semaine Jean-Baptiste Kempf, le président de l’association VideoLAN, « la technique utilisée est une modification du manifeste du logiciel dans le but de forcer le chargement d’une fausse bibliothèque de liens dynamiques baptisée psapi.dll, au lieu d’utiliser la version officielle pour Windows. Cette DLL contient le code d’exécution du logiciel malveillant ».

« Nous avons pris des contre-mesures pour empêcher ce malware de cacher ses activités derrière le lecteur VLC. La modification permettant l’utilisation de ce vecteur d’attaque ne sera plus possible à partir de la prochaine mise à jour mineure, numérotée 2.2.5. Nous sommes également en train de consolider la sécurité de VLC pour les prochaines versions majeures (3.x.x) », ajoute VLC, confirmant les objectifs que nous avait présentés Jean-Baptiste Kempf.

Enfin, last but not least, l’association rappelle à toutes fins utiles qu’il vaut toujours mieux télécharger VLC depuis le site officiel de VideoLAN plutôt que de passer sur un service tiers. Ce conseil vaut pour le lecteur multimédia mais aussi pour n’importe quel autre logiciel. Cette bonne pratique n’immunise évidemment pas contre tout, mais ça réduit déjà la voilure face à certains programmes nuisibles.

Partager sur les réseaux sociaux