TorrentFreak rapporte la mise en évidence une faille de sécurité majeure sur trois des plus gros sites de partage de fichiers torrent privés. La situation est d’autant plus critique qu’il est complexe de parvenir à entrer en contact avec les administrateurs de ces plateformes, souvent bien protégées et volontairement anonymes pour échapper aux autorités et ayants droit.
Une faille d’ampleur
Il s’agit là de sites de Torrent privé qui permettent d’échanger des fichiers torrent pour du téléchargement P2P et donc via le protocole BitTorrent. L’aspect privé implique que pour pouvoir publier sur ces plateformes ou entrer en contact avec des responsables, l’utilisateur doit réussir à s’inscrire, et cela passe soit par une formule payante, soit via un parrainage d’un utilisateur déjà inscrit et suffisamment ancien pour proposer des invitations.
La faille découverte se situe dans le logiciel Torrent Auto Loader qui permet aux trois sites en question de récupérer automatiquement des liens torrents depuis d’autres plateformes pour les afficher sur la leur lors de l’apparition de nouveaux fichiers. Cela permet d’alimenter les plateformes très rapidement et de façon automatisée.
Problème : la page d’administration de Torrent Auto Loader n’est visiblement pas protégée et peut être accessible à n’importe qui puisqu’aucun mot de passe n’est demandé pour l’interface Web.
Ces sites Torrent privés sont souvent réputés plus surs que les autres sites accessibles sans aucun contrôle. Néanmoins, pour les 3 sites en question, la situation est bien différente et il devient compliqué de justifier une entrée payante si la sécurité est à ce point réduire.
Pour le moment, l’identité des trois sites en question n’a pas été révélée pour permettre aux administrateurs de corriger le tir.