L’alerte est lancée : « Le ciel s’effondre, désinstallez VLC immédiatement ! » C’est le cri d’alarme que l’on peut entendre sur certains sites web. Cependant, la supposée vulnérabilité de VLC semble être grandement exagérée, voire, selon les développeurs de VLC, potentiellement inexistante.
Cette agitation a démarré avec la publication de la référence CVE-2019-13615, classifiée comme une vulnérabilité « critique » et gratifiée d’un score de 9.8 sur 10. Les créateurs de VLC ont exprimé leur mécontentement quant au fait de n’avoir même pas été contactés avant la diffusion de cette information.
Voici ce que l’équipe de VideoLAN a communiqué sur Twitter :
Hey @MITREcorp et @CVEnew, le fait que vous ne nous contactez JAMAIS concernant les vulnérabilités de VLC avant de les publier n’est pas acceptable. Au moins, vérifiez vos informations ou effectuez vos propres vérifications avant de diffuser publiquement une vulnérabilité avec un score CVSS de 9,8…
— VideoLAN (@videolan) 23 juillet 2019
Mais cette situation est-elle vraiment préoccupante ? Un score de 9.8 sur 10, dans le domaine des failles de sécurité, laisse supposer une menace majeure. En effet, cette vulnérabilité pourrait théoriquement permettre l’exécution de code à distance, ce qui est une perspective alarmante. Des pirates pourraient prendre le contrôle de votre système en exploitant une faille présente dans VLC.
Selon la description du CVE, cette faille nécessiterait la manipulation d’un fichier MKV corrompu. En théorie, si vous téléchargiez un fichier MKV malveillant depuis Internet et que vous l’ouvriez, cela pourrait compromettre VLC. Cependant, il n’existe aucune preuve que cela se soit produit dans des cas réels. De plus, il semble que la version macOS de VLC ne soit pas affectée par cette problématique.
Par conséquent, même si cette vulnérabilité était aussi grave qu’elle le semble, il suffirait de faire preuve de prudence avec les fichiers MKV. Évitez de télécharger des fichiers MKV dont l’origine n’est pas fiable et abstenez-vous de les lire avec VLC jusqu’à ce qu’une mise à jour corrective soit disponible. Si vous avez recours au téléchargement de médias, soyez particulièrement vigilant avec les fichiers MKV.
Cependant, la situation est plus complexe. Les développeurs de VLC affirment qu’ils ne parviennent même pas à reproduire le problème, ce qui met sérieusement en doute la validité du rapport initial d’exploitation.
Avez-vous même vérifié cela ? Personne n’arrive à reproduire ce problème ici.
— VideoLAN (@videolan) 23 juillet 2019
En conclusion, par mesure de précaution, il est judicieux d’éviter de télécharger des fichiers MKV jusqu’à ce que VLC corrige cette supposée faille. Mais il s’agit probablement de la seule mesure à prendre, et même cela pourrait être perçu comme une forme de paranoïa.
Comme l’expliquent les développeurs de VLC sur le système de suivi des bogues VideoLAN :
« Désolé, mais ce bogue n’est pas reproductible et ne fait pas planter VLC du tout. » – Jean-Baptiste Kempf
« Si vous arrivez sur ce ticket via un article de presse affirmant qu’il existe une faille critique dans VLC, je vous suggère de lire d’abord le commentaire ci-dessus et de reconsidérer vos (fausses) sources d’informations. » – Francois Cartegnie
« Cela ne fait pas planter une version normale de VLC 3.0.7.1 » – Jean-Baptiste Kempf
Mise à jour : Voici la réponse plus détaillée de VideoLAN. Selon leurs développeurs, il n’existe aucune faille dans la version actuelle du logiciel VLC.
Un journaliste a créé un rapport de bug sur notre système de suivi, ce qui ne correspond pas à notre politique de notification. Nous demandons en effet de nous contacter par e-mail via notre adresse de sécurité. Bien entendu, notre système de suivi des bugs est public. Nous n’avons pas pu reproduire ce problème et avons tenté de contacter le chercheur en sécurité, en privé.
— VideoLAN (@videolan) 24 juillet 2019