Le fonctionnement de Torrent Times inquiète

Numerama Logo 500Bénéficiant d’une relative notoriété grâce à Popcorn Time, The Pirate Bay et KickAss Torrents, l’application Torrent Times suscite toutefois des inquiétudes dans son mode de fonctionnement.

Si vous vous intéressez à l’actualité du P2P, vous avez forcément entendu parler de Torrents Time. Ce programme open-source, qui intègre un client BitTorrent et un lecteur vidéo, permet de streamer des vidéos depuis des sites de liens BitTorrent, si ceux-ci ajoutent de leur côté le code nécessaire qui permettra à l’application de fonctionner dans le navigateur web.

L’application a gagné en notoriété ces dernières semaines. Et pour cause : c’est elle qui est à l’origine de Popcorn Time Online, qui est une sorte de Netflix du piratage, et qui a atterri sur des sites bien connus des adeptes du piratage, comme The Pirate Bay et KickAss Torrent. Un succès qui se comprend, car Torrents Time se veut plus simple d’utilisation qu’un client BitTorrent.

En effet, Torrents Time ne demande qu’à être installé sur l’ordinateur. Rien de plus il suffit ensuite de se rendre sur un site compatible avec le logiciel et lancer la lecture de la vidéo, dans le navigateur, comme un site de VOD classique. Alors qu’avec un client BitTorrent, il y a des réglages à vérifier, des étapes à franchir et une prise en main de l’interface à faire. Bref, c’est moins user-friendly.

Sur le papier, tout ça semble formidable. Mais dans les faits, il y a de quoi s’inquiéter. Outre les problèmes de droit d’auteur que le logiciel pose, il s’avère que certaines parties du code source n’ont pas été divulguées, notamment celles relatives au partage du contenu. Tout juste se contentaient-ils de dire, à propos du code effectivement partagé, que « rien […] ne sera propriétaire » .

Officiellement, les développeurs ont choisi de ne pas partager cette partie afin de protéger ceux qui souhaitent contribuer au projet, ajoutant « qu’il n’y a rien de problématique avec Torrents Time ». Mais comme dit l’adage, les promesses n’engagent que ceux qui les écoutent. Et il ne suffit pas de proclamer quelque-chose pour que celle-ci soit vraie. Il faut pouvoir s’en assurer.

Sans aller jusqu’à dire que les pans de code restés secrets comportent du code indésirable, peut-être contiennent-ils des faiblesses qui peuvent mettre en péril la confidentialité ou la sécurité des utilisateurs utilisant Torrents Time ?

Or, c’est justement ce que soulèvent deux récentes publications, l’une sur Reddit l’autre sur le blog d’Andrew Sampson, celui qui a mis au point Aurous, une application pour écouter de musique en illimité, gratuitement et de façon totalement illicite. Apparue l’an dernier, elle a finalement disparu du panorama.

Hormis le fait que l’application, qui se présente comme un module pour navigateur, s’avère être en réalité un exécutable à télécharger et à installer sur le PC, ce qui n’a pas les mêmes implications en terme de sécurité informatique, il s’avère, selon les premières analyses sur Reddit et par Andrew Sampson, que la manière dont a été programmé l’outil est loin d’être totalement satisfaisante.

Il est par exemple reproché au logiciel de faire trop souvent appel du mécanisme CORS (pour cross-origin resource sharing), qui permet à des ressources sur une page web d’être appelées par un autre domaine en dehors de celui-ci sur lequel figurent les ressources en question. Et c’est loin d’être le seul défaut trouvé lors de l’analyse de Torrents Time ; car en effet, Andrew Sampson a relevé d’autres soucis,

Le logiciel peut potentiellement servir à faire télécharger de force à un usager un contenu piraté. Des manipulations permettent aussi de faire apparaître des données sensibles (adresse IP, page visitée, position géographique) ou de réaliser une attaque XSS. De plus, un problème au niveau de l’utilisation du processeur a été relevé.
...

La suite sur : Le fonctionnement de Torrent Times inquiète
Numerama – 12/02/2016