Bientôt la retraite pour Flash ?

Pour une fois, l’ensemble de la communauté de la sécurité de l’information semble être d’accord sur un point : Adobe Flash Player est problématique. Il est rare qu’une campagne APT ou une campagne à l’aide de codes d’exploitation n’exploite pas des vulnérabilités dans ce produit très répandu pour voler des biens intellectuels, des secrets professionnels, des mots de passe ou des données de cartes de crédit. Cette situation qui traîne met la patience des professionnels de l’informatique à rude épreuve et il n’est dès lors par étonnant d’entendre de plus en plus de voix qui s’élèvent pour réclamer la fin de Flash Player.

Cody Pierce, chargé de l’analyse des vulnérabilités chez Endgame a déclaré : « Flash est un exemple frappant des problèmes qui peuvent survenir quand un éditeur s’obstinent à recycler un code hérité Flash offre aux utilisateurs un riche environnement de développement, mais cette volonté de toujours élargir les possibilités entraîne obligatoirement une chute de la fiabilité. Dans ce contexte, qu’on le veuille ou non, il faut préserver la prise en charge de format de fichiers hérités, ce qui débouche sur une situation où l’individu malintentionné dispose de vecteurs d’attaques pratiquement illimités, qu’il s’agisse de vidéo, d’audio, d’image, de différents protocoles et d’un langage de programmation de script riche avec ActionScript. Tout cela favorise l’exploitation et la recherche de vulnérabilités.

La semaine dernière, Adobe a franchi un timide premier pas vers le retrait de Flash et la transition vers HTML 5. Il s’agit probablement des premières notes du chant du cygne pour Flash. Le développeur a annoncé que Flash Profesionnal CC allait être renommé en Animate CC, disponible au début de l’année prochaine ; Adobe lui confiera le rôle d’outil principal dans la création de contenu HTML5. « Nos clients nous ont clairement fait comprendre qu’ils souhaitaient une amélioration de la suite Creative Suite au niveau d’un plus grand nombre de formats pris en charge et nous sommes prêts à répondre à ces attentes » ont déclaré des représentants de la société dans le communiqué de presse.

La société ne souhaite pas vouloir se débarrasser tout de suite de Flash et va continuer à diffuser des correctifs et des mises à jour des fonctions. Elle va également maintenir sa coopération avec les éditeurs de navigateur Microsoft, Mozilla et Google pour réduire les risques. Ceci étant dit, les experts s’attendent à ce que cette décision d’Adobe fasse du bruit vu le nombre important d’applications et de contenu Internet hérités qui repose sur Flash.

« Le message principal de cette annonce est que Flash n’est pas prêt de disparaître » explique Mike Hanley, responsable des analyses et du développement chez Duo Security. « Dans le meilleur des cas, il s’agit d’une reconnaissance du fait que Flash a perdu sa position de plateforme dominante. Toutefois, en l’absence de plans ou de calendriers précis pour sa mise à la retraite, le volumineux contenu Internet et les nombreuses applications héritées vont continuer à s’appuyer sur des platerformes problématiques à l’origine comme Flash afin d’atteindre le public le plus large possible ».

En attendant, Flash demeure une cible de choix pour les individus malintentionnés de tout bord. Adobe le met à jour mois après mois, des dizaines de correctifs réguliers sont diffusés, sans oublier les mises à jour extraordinaires en raison d’attaques contre des vulnérabilités de type 0jour. Par exemple, l’été dernier, on a appris qu’un éditeur connu de logiciels de surveillance avait adopté depuis longtemps plusieurs vulnérabilités de type 0jour pour Flash, sans jamais penser à prévenir Adobe de leur existence. Mais Hacking Team n’est pas la seule société qui essaie de gagner de l’argent sur le dos des faiblesses de Flash. Ainsi, à peine arrivé sur le marché des vulnérabilité de type 0jour, un rejeton de VUPEN actif sous le nom de Zerodium a annoncé qu’il était prêt à payer entre 50 et 80 000 dollars américains pour toute nouvelle vulnérabilité inconnue dans Flash.

« Quand on sait que beaucoup d’utilisateurs utilisent toujours des lecteurs vulnérables, les individus malintentionnés disposent toujours d’un vecteur d’attaque universel » souligne Nick Buchholz, responsable de la sécurité réseau chez Damballa. « L’annonce d’Adobe n’est pas en mesure d’arrêter le développement de codes d’exploitation pour Flash. Ils vont être utilisés pendant longtemps encore et il est fort peu probable pour que la demande pour de tels programmes chute. »

Alors qu’Adobe poursuit son combat, ses partenaires Google et Mozilla ont déjà adopté des mesures qui empêchent le chargement et l’exécution automatique de codes d’exploitation dans les navigateurs Chrome et Firefox. « Je pense que l’abandon progressif de Flash va être une nouvelle fois motivé par des sociétés tierces ou des groupes de travail dont les utilisateurs sont le plus souvent exposés à un code d’exploitation lors de l’utilisation de Flash » suppose Mike Hanley en présentant l’avis de Duo.

Donc, d’après les avis des experts, il faut s’attendre à ce que les pirates continuent de préférer les solutions multiplateformes comme Flash et Java. Ce genre de code d’exploitation doit être programmé une seule fois, puis il suffit de l’adapter au fonctionnement sur différents fronts, par exemple, introduire un objet Flash malveillant dans un document Microsoft Office et le diffuser via une campagne de spam ou de phishing.

« Je suis convaincu que Flash constitue une cible de prédilection pour les individus malintentionnés car il est pris en charge par tous les navigateurs et toutes les plateformes » constate Craig Young, analyste en sécurité chez Tripwire. « La possibilité d’exécuter le code sur des systèmes client représente un vecteur d’attaque considérable, comme on peut le voir avec Java, ActiveX et JavaScript. Flash est présent en général sur de nombreux navigateurs et plateformes, ce qui permet de renforcer l’efficacité du code d’exploitation ».

« On peut s’attendre à ce que Flash conserve un grande base d’utilisateurs pour de nombreuses années encore et pour cela, il constituera un casse-tête pour la sécurité du terminal » poursuit Craig Young. « Il se peut que certains sites et services réussissent à remplacer rapidement le contenu Flash par du contenu HTML5, mais Flash en lui-même demeurera un vecteur d’attaque actif tant que les navigateurs les plus répandus continueront à le prendre en charge. »

Source: Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *