Flash, nouvelle porte d'entrée pour les pirates

10/04/2008 à 18h00

Les outils de développement ont introduit une vulnérabilité dans les fichiers SWF. Il est recommandé aux webmasters de tous les régénérer. Et aux internautes de télécharger les mises à jour Adobe.

Saviez-vous que certains outils de développement Flash ont généré des fichiers SWF avec des vulnérabilités critiques ? Et les outils en question ne sont pas les moins utilisés : il s'agit entre autres d'Adobe Dreamweaver, d'Adobe Contribute, d'Adobe Acrobat Connect, d'Infosoft FusionCharts et de Techsmith Camtasia. Une situation corrigée depuis peu mais qui crée un historique de failles de sécurité.Les vulnérabilités générées dans les fichiers SWF permettent aux pirates de réaliser des attaques dites de cross-site scripting (XSS). Mal codé, un fichier Flash peut laisser trop de libertés à du code javascript, capable de s'exécuter dans un navigateur. En cliquant, par exemple, sur un lien contenant discrètement un tel code, un particulier peut permettre à un pirate de prendre le contrôle de sa session.

Des centaines de milliers de fichiers concernés

En janvier dernier, ces failles de sécurité ont été documentées par Rich Cannings, un ingénieur de Google. Selon lui, elles concerneraient des centaines de milliers de fichiers SWF sur la Toile, dont un certain nombre sur des sites importants. Depuis, les éditeurs ne sont pas restés inactifs. Toutes les solutions citées précédemment ont été mises à jour et les fichiers qu'ils génèrent désormais ne représentent plus de risque. Par ailleurs, Adobe vient de publier une mise à jour du Flash Player qui sécurise la lecture de fichiers SWF vulnérables.Tout est donc bien qui finit bien ? Pas tout à fait, notamment en raison du succès de Flash. Presque la totalité des utilisateurs du Web est aujourd'hui équipée d'un lecteur Flash. Il n'est pas certain que la mise à jour sera correctement déployée, surtout chez les particuliers.' Les attaquants pourront donc toujours exploiter les lecteurs Flash non mis à jour. De plus, de nouveaux vecteurs d'attaque similaires seront peut-être découverts. La seule solution fiable consiste donc à corriger le problème à sa source au niveau des documents Flash présents sur les sites Web ', explique Thomas Gayet, directeur adjoint au sein de Cert-Lexsi, une cellule de veille en sécurité informatique.Autre problème : les développeurs Flash n'ont pas encore le réflexe sécuritaire, tout simplement parce que dans leur domaine les failles étaient rares. ' C'est une communauté qui n'est pas forcément sensibilisée au départ à la sécurité ', estime Thomas Gayet.

Un nouveau modèle de sécurité

Dans les semaines à venir, les webmasters et les ' flasheurs ' vont donc avoir du pain sur la planche s'ils veulent être sûrs que leurs sites soient sécurisés au maximum. Non seulement ils sont invités à régénérer l'ensemble des anciens fichiers SWF, mais en plus ils vont devoir changer leurs méthodes de codage.En effet, la dernière mise à jour du lecteur Flash est plus stricte quant à l'utilisation de connexions sockets ou XMLsockets, de requêtes HTTP et de code JavaScript dans l'ActionScript. Adobe a édicté un certain nombre de règles qu'il faudra désormais respecter. Toutefois, selon l'éditeur, les conséquences de ce durcissement sont très faibles.' Un développeur Flash est capable d'adapter son application au nouveau modèle de sécurité Flash en quelques minutes ', explique Michaël Chaize, consultant avant-vente d'Adobe France.

Gilbert Kallenborn

Votre opinion

8 opinions

yureknon 16/04/2008 à 01h35

Devinez comment au concours (je ne sais plus le nom ) macOSX a été cracker aussi rapidement...
tolkien466 13/04/2008 à 23h26

Juste pour ajouter au mini débat, adobe a commencé a laché des parties importantes de flash en open source. Par exemple, la nouvelle machine virtuelle du Flash Player est open source (Mozilla MPL) et vu les orientations d'Adobe qui ont donné intégralement le format PDF à l'ISO l'an dernier, je ne serai pas étonné de voir Flash Open source d'ici quelques mois.On verra bien... En plus de 10 ans d'existence, on doit quand même admettre, qu'il n'y a jamais eu de scandale de sécurité avec le Flash Player. S'il passe Open Source,vous pourrez tous coder des supers programmes anti failles de sécurité pour Flash. :)
soduko 13/04/2008 à 23h20

Firefox est open source et cela n'empêche pas d'avoir aussi très régulièrement des failles de sécurité. Je trouve le discours extrême, comme l'article d'ailleurs (c'est la première fois que je vois le chiffre: "des centaines de milliers de sites concernés"). Ne pas considérer flash comme faisant partie du succès du web est une erreur. A vous écouter, on serait encore dans un bon minitel bien sécurisé... super! Quant à la mise à jour automatique de Flash, elle existe depuis plusieurs années.
ark4noid 11/04/2008 à 15h57

Pour ceux qui veulent surfer tranquille (sans pub), deux petites extensions de firefox (https://addons.mozilla.org): adblock plus (empêche le téléchargement d'objets depuis des serveurs de publicité) et flashblock (remplace chaque cadre flash par un logo 'play' sur lequel on peut cliquer si on veut exécuter l'application flash. Elle n'est pas exécutée sinon)

Pour le reste, je suis également d'accord. Ils pourraient rendre le player flash opensource, ça aiderait tout le monde. (intégration dans firefox, mise à jour automatique, etc....)
La Pomme2 11/04/2008 à 14h46

Pas tant que ça hors sujet.Adobe aurait du veiller à surveiller un peu plus les éventuels failles de sécurité. Flash est incontournable, notamment pour toutes les pubs qui polluent en surimpression les sites... Les utilisateurs voudrainet surfer tranquille sans que l'on rajoute encore d'autres risques... Apparemment (mais je peux me tromper) il n'existe pas d'auto-update dans le lecteur, si c'est le cas, c'est lamentable de la part d'abode.
Guimo 11/04/2008 à 12h02

Si, de rappeler que quand un truc propriétaire devient un monopole d'usage, tu es ENTIEREMENT dépendant du fournisseur pour attendre qu'il corrige les failles.
Un navigateur internet qui as trop de failles??? Pas de problème, tu peux en choisir un autre.
Par contre, Flash est fermé, du coup il faut utiliser obligatoirement le plugin à Adobe -> Tu es entièrement dépendant d'eux pour les failles de sécurité. A la limite, ils n'ont même pas besoin de corriger rapidement vu que leur plugin est obligatoire pour lire les annimations flash.
Tamu 11/04/2008 à 10h56

Ce commentaire n'a vraiment aucun intérêt.
Guimo 11/04/2008 à 10h33

Autre problème : les développeurs Flash n'ont pas encore le réflexe sécuritaire, tout simplement parce que dans leur domaine les failles étaient rares. « C'est une communauté qui n'est pas forcément sensibilisée au départ à la sécurité », estime Thomas Gayet.

En gros, c'est pas ma faute, c'est la faute des developpeurs...
Bravo!!!

Plus sérieusement, Flash n'est pas un standard du web, mais un truc infame qui rend tous les navigateurs dépendants du plugin d'Adobe.
C'est une technologie fermée, à "l'ancienne", qui empêche l'échange d'information, l'interconnexion des sites etc... La dépandance par rapport au plugin n'est pas souhaitable, si l'on considère que de plus en plus de machines pourront surfer, et pas seulement des machines Windows / Intel. Par exemple, si Adpobe ne développe pas pour l'Iphone : pas de flash sur l'iphone.