Gare aux fichiers de sous-tittres malveillants

Des chercheurs en sécurité ont découvert que plusieurs lecteurs multimédias sont à la merci
de fichiers de sous-titres vérolés, en mesure de prendre le contrôle de votre PC.

Méfiance si vous téléchargez des fichiers de sous-titres pour accompagner un fichier vidéo piraté.

Des chercheurs de la firme de sécurité Check Point Software ont, en effet, découvert que de
populaires lecteurs multimédias comme VLC, Kodi, Popcorn Time ou Strem.io pouvaient être
vulnérables à une méchante faille de sécurité.

Elle permettrait à des hackers de prendre la main sur votre PC, par le simple chargement de
sous-titres vérolés dans votre lecteur.

"approximativement, 200 millions de lecteurs vidéo font tourner ce code vulnérable, ce qui fait
de cette vulnérabilité l’une des plus des plus répandues et aisément accessible de ces dernières
années", prévient Check Point.

les logiciels de sécurité, considérant la plupart du temps, les sous-titres
comme des fichiers anodins, ces versions vérolées peuvent aisément passer sous leur radar.

Comment ça marche ? Les lecteurs ciblés n'étant pas tous patchés, Check Point se garde
bien de donner des détails techniques.
On ne sait pas, par exemple, quels formats de fichier sont concernés, ni les modifications
à effectuer pour les transformer en malware.

La vulnérabilité viendrait en tout cas d'un problème dans l'implémentation de l'analyse
syntaxique des sous-titres dans ces logiciels.

Manipulation des sites de sous-titres.

L'entreprise détaille en revanche la méthode que peuvent employer les hackers pour faire
parvenir le fichier jusqu'au PC de la victime, et berner les utilisateurs et les experts en
sécurité informatique, en tirant parti du caractère inoffensif des fichiers sous-titres (en ".srt"),
considérés comme de simples fichiers textes...

Ils peuvent profiter pour cela des gigantesques bases de données de sous-titres, très populaires
chez les accros au téléchargement, comme OpenSubtitles.

Ces sites disposent d'un algorithme de classement des sous-titres, notamment en fonction de leur
popularité.
Or Check Point a pu montrer qu'en le manipulant, il était possible qu'il devienne le sous-titre
téléchargé, automatiquement par le lecteur multimédia...
Ou de le faire figurer en bonne place pour les internautes qui le téléchargent à la main, directement
depuis le site.

Une fois le sous-titre chargé dans le lecteur, le hacker dispose d'un contrôle total sur le PC et peut
y installer ou y voler ce qu'il souhaite.

Evidemment, les chercheurs ont prévenu les développeurs des 4 éditeurs concernés. Si certains soucis
ont été résolus, d’autres demeurent et sont en cours de résolution.

La toute dernière version de VLC (2.2.5.1) par exemple, corrige ce problème. Tout comme Streamio, autre
service pointé du doigt par Check Point.
En revanche, Popcorn Time ne propose pas encore d'une version corrigée, ni Kodi.

Evitez donc la fonction de téléchargement automatique de sous-titres pour l'instant, et faites particulièrement
attention aux fichiers que vous téléchargez !