qBittorrent corrige discrètement une faille de sécurité vieille de 14 ans

qBittorrent, une application populaire de partage de fichiers peer-to-peer qui existe depuis 2006, accepte à peu près n'importe quel certificat SSL dans les domaines et les adresses introduits dans le composant DownloadManager de l'application depuis plus de 14 anset a maintenant corrigé cette vulnérabilité. Le correctif à l'origine de la faille de sécurité potentielle a été introduit en avril 2010 et était très simple : il consistait simplement à modifier l'état par défaut de la vérification SSL en la désactivant au lieu de l'activer. Cela a permis d'éliminer les erreurs de sécurité gênantes, quelque chose qui pourrait potentiellement ennuyer les utilisateurs et les empêcher de télécharger du contenu à partir de sources non vérifiées. Depuis le 28 octobre 2024 et la version 5.0.1, l'état par défaut est à nouveau activé. Il convient de noter que qBittorrent n'a fourni aucune explication pour ce changement et n'a pas informé les utilisateurs d'une manière particulière, à l'exception des notes de correctifs habituelles qui accompagnent les nouvelles versions.

Les certificats SSL sont des jetons de sécurité qui font deux choses : ils vérifient qu'une source de trafic web provient bien du site web dont elle se réclame, et permettent de crypter le contenu qui transite par cette connexion. Étant donné que BitTorrent, en tant que protocole, est basé sur le transfert de fichiers de pair à pair, il est logique que l'on puisse recevoir des fichiers parfaitement sûrs du serveur domestique de quelqu'un, ou même de son PC, ce qui signifie qu'il n'est peut-être pas équipé de manière adéquate pour autoriser un certificat SSL. Le fait de ne pas cocher cette case permettrait aux utilisateurs de communiquer avec de telles sources et d'effectuer des téléchargements sans problème.

Le revers de la médaille est que l'absence de certificat SSL, ou l'acceptation d'un certificat illégitime, ouvre la possibilité à presque n'importe quelle source de trafic web de n'importe quel serveur de se faire passer pour celui que l'utilisateur essaie d'atteindre. Cela permettrait aux mauvais acteurs de détourner le trafic, éventuellement de voler des informations sur les systèmes hôtes ou les systèmes des utilisateurs, et éventuellement d'injecter presque n'importe quel code qu'ils souhaitent. À bien des égards, ce type d'attaque de l'homme du milieu contourne de nombreuses mesures de sécurité conventionnelles, telles que les pare-feu, qui protègent les utilisateurs contre les acteurs malveillants.

Le paramètre qui régit l'acceptation par l'application d'une connexion sans vérification du certificat SSL reste accessible aux utilisateurs, de sorte que ceux qui sont prêts à prendre le risque peuvent simplement le désactiver. L'utilisateur moyen n'est pas censé se plonger dans les paramètres de l'application avant de l'utiliser, ni savoir comment fonctionnent les certificats SSL et quels sont les risques encourus en laissant le paramètre désactivé, ce qui fait de cette mesure un net avantage pour la sécurité des applications.