[Info Numerama] Sur la base d'une alerte de sécurité, de nombreuses publications ont alerté le public sur l'existence d'une possible faille de sécurité majeure dans le logiciel VLC. Sauf qu'il n'en est rien.

C’est un emballement médiatique qui est parti d’une alerte de sécurité publiée en juillet 2019 par le CERT Bund, le centre allemand de veille, d’alerte et de réponse aux attaques informatiques. À en croire l’avertissement, il existe une faille de sécurité dans la dernière version de VLC, numérotée 3.0.7.1. Avec celle-ci, il est possible d’exécuter du code à distance pour s’en prendre à un utilisateur.

De bonne foi, de nombreuses publications ont rebondi ces jours-ci sur la mise en garde des autorités allemandes. D’autant que, quelques jours plus tôt, le site de l’institut américain des normes et de la technologie (NIST) a aussi publié une notice dans sa base de données concernant une anomalie affectant VLC et plus particulièrement dans un module relatif à Matroska, un format de fichier multimédia (MKV).

Sauf qu’il n’en est rien.

Pas de faille constatée

Contacté le 24 juillet par Numerama, Jean-Baptiste Kempf, le président de VideoLAN, l’association qui chapeaute le développement de VLC, est catégorique : « il n’y a pas de faille avérée. C’est n’importe quoi ». Certes, un ticket de bug a été publié le 25 juin sur l’espace dédié à la résolution de dysfonctionnements du lecteur multimédia, mais les observations de l’auteur sont contestées.

Deux intervenants, dont Jean-Baptiste Kempf, indiquent en commentaire du bug que le problème n’a pas pu être reproduit de leur côté et qu’aucun plantage du logiciel n’a été constaté. Cela vaut aussi bien pour la version courante du logiciel que pour d’autres moutures, passées (3.0.6 win64) comme à venir (nightly 4.0.0-20190723-0832 win64). Aucun souci à l’horizon, en somme.

bug tracker vlc
La situation sur le traqueur de bugs de VLC.

La seule possible anomalie qui ressort de cette discussion est une fuite de mémoire interne lorsque la lecture en boucle est active. Cependant, celle-ci n’entraîne pas de crash du programme. Dans ce cas, le logiciel peut finir par planter au bout d’un moment lorsqu’il y a effectivement un dépassement de mémoire. On est de toute évidence assez loin de la brèche critique évoquée précédemment.

Pourtant, le traqueur de bug a suggéré à un moment qu’une résolution était en cours et que son avancement était déjà à 60 %.

Il s’agit en fait, nous explique Jean-Baptiste Kempf, d’une valeur arbitraire qui a été inscrite par l’auteur. Ce score a depuis été ramené à 0 % : il est indiqué qu’aucune correction n’est pour l’instant engagée. Rien d’étonnant : «  Il n’y a pas de faille de sécurité avérée, donc il n’y aura pas de correctif », assène notre correspondant. « C’est n’importe quoi », continue-t-il, semblant agacé par la tournure des évènements.

Une affaire qui se dégonfle

Quant au CERT Bund, il en prend pour son grade. « C’est un rapport basé sur rien. Le CERT allemand a vu passer une information et l’a reprise sans vérifier ». VideoLAN a contacté le CERT allemand pour éclaircir le sujet mais s’est rendu compte que l’organisme n’a pas été en mesure de donner plus d’explication. Depuis, une autre version du bulletin est parue sur le site, ramenant le degré de criticité de haut à moyen.

Et Jean-Baptiste Kempf de conclure, dans le traqueur de bug : « Fin de l’histoire : VLC n’est pas vulnérable, que ce soit 3.0.7.1 ou même 3.0.4. Le problème se trouve dans une bibliothèque tierce, et il a été corrigé dans les binaires VLC version 3.0.3, sortie il y a plus d’un an…. ». En conséquence, l’alerte est close et aucun patch ne verra évidemment le jour.

Partager sur les réseaux sociaux