Faisant suite à des révélations de Wikileaks, l'équipe VideoLAN a récemment publié un communiqué de presse.
Le site portail Fr propose notre traduction française du CP ci-dessous :
*** 
Le mardi 7 mars 2017, l'organisation Wikileaks a publié une nouvelle série d'informations confidentielles sous le nom de code "Vault 7", obtenu par une fuite de la C.I.A. Ces documents révèlent l'existence d'un arsenal de programmes malveillants, y compris des «zero day» (innovations absolument inconnues), contaminant une large gamme de produits classiques tels que des applications populaires et autres logiciels.
L'une des révélations concerne un outil qui exploite une ancienne version modifiée de VLC media player.
L'outil décrit est capable d'espionner les documents d'un ordinateur ou d'un réseau en masquant son activité à l'intérieur d'une version "VLC portable" 2.1.5 pour Windows. Sous une apparence innocente (lecture de fichiers multimédia), ce logiciel modifié inspecte l'ordinateur ou le réseau à des fins de renseignement.
VideoLAN prend très au sérieux ces révélations, mais il est important de noter que la fuite du document ne décrit pas une vulnérabilité qui est exploitable à distance, ni présente dans une installation normale de VLC.
La technique utilisée est une modification du manifeste du logiciel afin de forcer le chargement d'une fausse "bibliothèque dynamique" (psapi.dll), au lieu d'utiliser la DLL originale de Windows. Cette DLL hackée contient le code exécutable des logiciels malveillants .
L'attaque décrite dans le document divulgué nécessite :
- L'accès physique à l'ordinateur ciblé,
- Microsoft Windows XP ou un système plus ancien,
- L’utilisation de l’outil mis au point par la CIA (fournie sur « clé USB », mais pas exclusivement).
Nous aimerions attirer votre attention sur le fait que cet exploit n'est rien d'autre que l'utilisation d'une source non fiable pour installer VLC. La seule source sûre pour obtenir VLC media player est le site officiel de VideoLAN.
La sécurité des données de nos utilisateurs est primordiale. Par conséquent, nous avons pris des contre-mesures pour empêcher les logiciels malveillants de cacher leur activité derrière VLC media player. Le vecteur d'attaque utilisé ne sera plus possible à partir de la prochaine version mineure, 2.2.5. Nous travaillons également sur le renforcement de la sécurité VLC pour les prochaines versions majeures (3.xx).
VLC media player est un lecteur multimédia gratuit et open source qui est utilisé par des millions de gens dans le monde entier. Il est réalisé par une association sans but lucratif : VideoLAN, géré par des bénévoles. Tout nos membres croient fermement dans 'Open-Source et ses normes.
L'équipe VideoLAN
(veuillez noter que tous les liens de téléchargements du présent site sont des redirections automatiques vers le site officiel VideoLAN).
