Une faille de sécurité a été découverte dans Litematica, l’un des mods les plus installés de l’histoire de Minecraft avec plus de 33 millions de téléchargements. Depuis, les vignettes YouTube en majuscules hurlent de le supprimer immédiatement. Respirez : la faille est réelle, elle est sérieuse, mais elle est corrigée depuis le 6 juillet. La seule chose à faire, c’est mettre à jour.
Une faille réelle, découverte par les dupeurs
Le 5 juillet au soir, masa, l’auteur du mod, est alerté par des membres de la communauté de l’exploit, ceux-là mêmes qui passent leurs journées à chercher des failles de duplication. Le problème touche certaines versions de Litematica et de Servux, son compagnon côté serveur, pour Minecraft 1.21 et plus récent.
Le principe : la fonction d’échange de schematics entre serveur et client ne vérifiait pas correctement les noms de fichiers reçus. Un serveur malveillant pouvait donc envoyer autre chose qu’un schematic et le déposer en dehors du dossier prévu, typiquement un fichier infecté directement dans votre dossier mods. Au redémarrage du jeu, le malware s’exécute.
Précision importante, car la rumeur a circulé : il s’agit d’un bug involontaire, une validation de chemin manquante dans du code rétroporté, pas d’un sabotage. Le contributeur dont le nom apparaît dans la version incriminée n’y est pour rien.
Qui est réellement concerné
Les conditions d’exploitation sont précises. Il faut jouer avec une version vulnérable de Litematica ET rejoindre un serveur malveillant, ou un serveur de confiance dont la version de Servux vulnérable a été compromise. En solo, vous ne risquez rien. Sur votre Realm ou votre serveur privé entre amis, rien non plus. Et les versions 1.20.4 et antérieures du mod n’ont tout simplement pas de code réseau, elles sont donc hors de cause.
La faille a bien été exploitée, mais de façon très ciblée. Un individu, déjà connu de la communauté pour des antécédents de doxxing, attirait ses victimes sur des serveurs « de test » et sur des serveurs Minehut gratuits pour installer des chevaux de Troie et voler des tokens de session. Ses cibles : la communauté du duping elle-même, qui a fini par le repérer et remonter l’alerte. Vous, qui jouez sur des serveurs établis, n’étiez probablement jamais dans son viseur.
La mise à jour règle tout
Des versions corrigées de Litematica sont disponibles sur Modrinth pour toutes les branches concernées, de la 1.21 à la 26.2 (0.28.3 pour la 26.2, 0.27.9 pour la 26.1, et ainsi de suite pour chaque version du jeu). Si vous administrez un serveur avec Servux, mettez-le à jour aussi. C’est tout.
Pour les inquiets, deux vérifications existent. Cherchez sur votre disque un fichier contenant « .litematic » ailleurs que dans l’extension, du type virus.litematic.jar dans votre dossier mods. Et fouillez vos logs à la recherche de la ligne « receiveFileTransmit: Failed to create Schematic ». Rien trouvé ? Vous êtes tranquille.
Le vrai problème, c’est la panique
Reste le plus agaçant dans cette histoire : le traitement qu’elle a reçu. La vidéo « DELETE IT NOW » d’un gros YouTubeur anglophone s’est fait épingler par une note de communauté sur X, rappelant que supprimer le mod ne sert à rien et que la mise à jour suffit. Le clickbait sécurité fait plus de dégâts que la faille elle-même : des milliers de builders ont paniqué pour un risque qui ne les concernait pas.
Les bons réflexes tiennent en trois lignes. Mettez vos mods Minecraft à jour régulièrement, téléchargez-les uniquement depuis les pages officielles, et évitez les serveurs dont vous ne connaissez pas les administrateurs. C’est d’ailleurs la règle sur Minecraft.fr : nous ne partageons que les liens officiels Modrinth et CurseForge des mods, qui pointent automatiquement vers la dernière version publiée. Vous récupérez donc toujours la version corrigée, jamais un vieux fichier vérolé. Litematica reste l’un des mods les plus sûrs et les plus utiles du jeu. Pas de quoi le jeter.



