nos newsletters
Abonnez-vous à Micro Hebdo : 4,90 €/mois
Abonnez-vous à l'Ordinateur Individuel : 3 €/mois
Abonnez-vous à la version digitale
Abonnez-vous à 01Business et Technologies : 19 €/mois
Flash, nouvelle porte d'entrée pour les pirates
Les outils de développement ont introduit une vulnérabilité dans les fichiers SWF. Il est recommandé aux webmasters de tous les régénérer. Et aux internautes de télécharger les mises à jour Adobe.
Saviez-vous que certains outils de développement Flash ont généré des fichiers SWF avec des vulnérabilités critiques ? Et les outils en question ne sont pas les moins utilisés : il s'agit entre autres d'Adobe Dreamweaver,
d'Adobe Contribute, d'Adobe Acrobat Connect, d'Infosoft FusionCharts et de Techsmith Camtasia. Une situation corrigée depuis peu mais qui crée un historique de failles de sécurité.
Les vulnérabilités générées dans les fichiers SWF permettent aux pirates de réaliser des attaques dites de cross-site scripting (XSS). Mal codé, un fichier Flash peut laisser trop de libertés à du code javascript,
capable de s'exécuter dans un navigateur. En cliquant, par exemple, sur un lien contenant discrètement un tel code, un particulier peut permettre à un pirate de prendre le contrôle de sa session.
Des centaines de milliers de fichiers concernés
En janvier dernier, ces failles de sécurité ont été
documentées par Rich Cannings, un ingénieur de Google. Selon lui, elles concerneraient des centaines de milliers de fichiers SWF sur la Toile, dont un certain nombre
sur des sites importants. Depuis, les éditeurs ne sont pas restés inactifs. Toutes les solutions citées précédemment ont été mises à jour et les fichiers qu'ils génèrent désormais ne représentent plus de risque. Par ailleurs, Adobe vient de publier
une mise à jour du Flash Player qui sécurise la lecture de fichiers SWF vulnérables.
Tout est donc bien qui finit bien ? Pas tout à fait, notamment en raison du succès de Flash. Presque la totalité des utilisateurs du Web est aujourd'hui équipée d'un lecteur Flash. Il n'est pas certain que la mise à jour sera
correctement déployée, surtout chez les particuliers.
' Les attaquants pourront donc toujours exploiter les lecteurs Flash non mis à jour. De plus, de nouveaux vecteurs d'attaque similaires seront peut-être découverts. La seule solution fiable consiste donc à
corriger le problème à sa source au niveau des documents Flash présents sur les sites Web ', explique Thomas Gayet, directeur adjoint au sein de Cert-Lexsi, une cellule de veille en sécurité informatique.
Autre problème : les développeurs Flash n'ont pas encore le réflexe sécuritaire, tout simplement parce que dans leur domaine les failles étaient rares. ' C'est une communauté qui n'est pas forcément
sensibilisée au départ à la sécurité ', estime Thomas Gayet.
Un nouveau modèle de sécurité
Dans les semaines à venir, les webmasters et les ' flasheurs ' vont donc avoir du pain sur la planche s'ils veulent être sûrs que leurs sites soient sécurisés au maximum. Non seulement ils sont invités à
régénérer l'ensemble des anciens fichiers SWF, mais en plus ils vont devoir changer leurs méthodes de codage.
En effet, la dernière mise à jour du lecteur Flash est plus stricte quant à l'utilisation de connexions sockets ou XMLsockets, de requêtes HTTP et de code JavaScript dans l'ActionScript. Adobe a
édicté
un certain nombre de règles qu'il faudra désormais respecter. Toutefois, selon l'éditeur, les conséquences de ce durcissement sont très
faibles.
' Un développeur Flash est capable d'adapter son application au nouveau modèle de sécurité Flash en quelques minutes ', explique Michaël Chaize, consultant avant-vente d'Adobe France.
envoyer
par mail
par mail
imprimer
l'article
l'article
Actu précédente
Actu Suivante
Flash est une daube infame.
de
Guimo
, posté le 11 avril 2008 à 10h33
Autre problème : les développeurs Flash n'ont pas encore le réflexe sécuritaire, tout simplement parce que dans leur domaine les failles étaient rares. « C'est une communauté qui n'est pas forcément sensibilisée au départ à la sécurité », estime Thomas Gayet.
En gros, c'est pas ma faute, c'est la faute des developpeurs...
Bravo!!!
Plus sérieusement, Flash n'est pas un standard du web, mais un truc infame qui rend tous les navigateurs dépendants du plugin d'Adobe.
C'est une technologie fermée, à "l'ancienne", qui empêche l'échange d'information, l'interconnexion des sites etc... La dépandance par rapport au plugin n'est pas souhaitable, si l'on considère que de plus en plus de machines pourront surfer, et pas seulement des machines Windows / Intel. Par exemple, si Adpobe ne développe pas pour l'Iphone : pas de flash sur l'iphone.
En gros, c'est pas ma faute, c'est la faute des developpeurs...
Bravo!!!
Plus sérieusement, Flash n'est pas un standard du web, mais un truc infame qui rend tous les navigateurs dépendants du plugin d'Adobe.
C'est une technologie fermée, à "l'ancienne", qui empêche l'échange d'information, l'interconnexion des sites etc... La dépandance par rapport au plugin n'est pas souhaitable, si l'on considère que de plus en plus de machines pourront surfer, et pas seulement des machines Windows / Intel. Par exemple, si Adpobe ne développe pas pour l'Iphone : pas de flash sur l'iphone.
alerter le modérateur
Hors Sujet
de
Tamu
, posté le 11 avril 2008 à 10h56
Ce commentaire n'a vraiment aucun intérêt.
alerter le modérateur
Pas tant que ça
de
La Pomme2
, posté le 11 avril 2008 à 14h46
Pas tant que ça hors sujet.Adobe aurait du veiller à surveiller un peu plus les éventuels failles de sécurité. Flash est incontournable, notamment pour toutes les pubs qui polluent en surimpression les sites... Les utilisateurs voudrainet surfer tranquille sans que l'on rajoute encore d'autres risques... Apparemment (mais je peux me tromper) il n'existe pas d'auto-update dans le lecteur, si c'est le cas, c'est lamentable de la part d'abode.
alerter le modérateur
+1
de
ark4noid
, posté le 11 avril 2008 à 15h57
Pour ceux qui veulent surfer tranquille (sans pub), deux petites extensions de firefox (https://addons.mozilla.org): adblock plus (empêche le téléchargement d'objets depuis des serveurs de publicité) et flashblock (remplace chaque cadre flash par un logo 'play' sur lequel on peut cliquer si on veut exécuter l'application flash. Elle n'est pas exécutée sinon)
Pour le reste, je suis également d'accord. Ils pourraient rendre le player flash opensource, ça aiderait tout le monde. (intégration dans firefox, mise à jour automatique, etc....)
Pour le reste, je suis également d'accord. Ils pourraient rendre le player flash opensource, ça aiderait tout le monde. (intégration dans firefox, mise à jour automatique, etc....)
alerter le modérateur
gmonne
de
Guimo
, posté le 11 avril 2008 à 12h02
Si, de rappeler que quand un truc propriétaire devient un monopole d'usage, tu es ENTIEREMENT dépendant du fournisseur pour attendre qu'il corrige les failles.
Un navigateur internet qui as trop de failles??? Pas de problème, tu peux en choisir un autre.
Par contre, Flash est fermé, du coup il faut utiliser obligatoirement le plugin à Adobe -> Tu es entièrement dépendant d'eux pour les failles de sécurité. A la limite, ils n'ont même pas besoin de corriger rapidement vu que leur plugin est obligatoire pour lire les annimations flash.
Un navigateur internet qui as trop de failles??? Pas de problème, tu peux en choisir un autre.
Par contre, Flash est fermé, du coup il faut utiliser obligatoirement le plugin à Adobe -> Tu es entièrement dépendant d'eux pour les failles de sécurité. A la limite, ils n'ont même pas besoin de corriger rapidement vu que leur plugin est obligatoire pour lire les annimations flash.
alerter le modérateur
-1
de
soduko
, posté le 13 avril 2008 à 23h20
Firefox est open source et cela n'empêche pas d'avoir aussi très régulièrement des failles de sécurité. Je trouve le discours extrême, comme l'article d'ailleurs (c'est la première fois que je vois le chiffre: "des centaines de milliers de sites concernés"). Ne pas considérer flash comme faisant partie du succès du web est une erreur. A vous écouter, on serait encore dans un bon minitel bien sécurisé... super! Quant à la mise à jour automatique de Flash, elle existe depuis plusieurs années.
alerter le modérateur
flash open source
de
tolkien466
, posté le 13 avril 2008 à 23h26
Juste pour ajouter au mini débat, adobe a commencé a laché des parties importantes de flash en open source. Par exemple, la nouvelle machine virtuelle du Flash Player est open source (Mozilla MPL) et vu les orientations d'Adobe qui ont donné intégralement le format PDF à l'ISO l'an dernier, je ne serai pas étonné de voir Flash Open source d'ici quelques mois.On verra bien... En plus de 10 ans d'existence, on doit quand même admettre, qu'il n'y a jamais eu de scandale de sécurité avec le Flash Player. S'il passe Open Source,vous pourrez tous coder des supers programmes anti failles de sécurité pour Flash. :)
alerter le modérateur
à lire aussi
SUR LES MÊMES THÈMES 
Nos partenaires