Blog

Qu’est-ce qui rend Flash si peu sûr et quelles sont les alternatives ?

Logo Adobe FlashAdobe Flash existe depuis l'aube de l'Internet commercial. La première version du World Wide Web était construite sur une version très peu impressionnante du langage HTML (Hyper Text Markup Language), qui n'était pas capable de faire quoi que ce soit en termes d'animation ou de script. Adobe développéShockwave Flash, qui est devenu simplementÉclairplus tard dans la vie, ce qui a donné aux développeurs un moyen d'apporter du contenu riche au Web statique. Flash était utilisé pour lire des films, créer des jeux vidéo en ligne et afficher des publicités ennuyeuses. Au milieu des années 2000, Flash était installé sur des millions d’ordinateurs de bureau dans le monde. Ce déploiement massif a attiré l’attention des pirates informatiques qui appréciaient l’idée de pouvoir infecter autant de systèmes avec un seul logiciel malveillant. Flash est la cible des auteurs de logiciels malveillants depuis des années, avec des centaines de vulnérabilités au cours des deux dernières années seulement.



Les défenseurs de la sécurité et de la confidentialité du monde entier recommandent de désactiver ou de désinstaller Flash comme étape standard de la sécurisation d'un ordinateur. Les vulnérabilités arrivent trop rapidement pour qu'Adobe puisse les suivre, ce qui signifie qu'il est presque certain qu'il existe des vulnérabilités de type zéro jour (inconnues) dans le plugin à un moment donné. Heureusement, HTML est devenu plus performant au cours des dernières années et le besoin de Flash diminue, ce qui fait d'Internet un endroit plus sûr.

Un grand nombre de vulnérabilités

Dans une revue des vulnérabilités signalées contre Flash au cours des 12 dernières années, le site Détails du CVE révèle que 1 020 vulnérabilités ont été découvertes depuis décembre 2005. Même si cela peut paraître long, le problème s’aggrave de façon exponentielle. En 2005, une seule vulnérabilité a été signalée. En 2014, il y en avait 76, et un nombre incroyable de 595 vulnérabilités ont été signalées au cours des deux dernières années seulement.



Graphique de vulnérabilité Adobe Flash

Gravité des vulnérabilités

Toutes les vulnérabilités ne sont pas également graves. De nombreuses vulnérabilités signalées concernant des produits ne sont pas une priorité à corriger. Par exemple, un exploit qui nécessite la mise en place d’un grand nombre d’événements préalables avant de pouvoir être perpétré est moins critique qu’un exploit qui peut être utilisé dans une plus grande variété de situations. Un autre exemple est qu'un exploit qui nécessite qu'un attaquant soit physiquement présent devant l'ordinateur est moins critique qu'un exploit qui peut être utilisé à distance via Internet. Dans le but d'apporter une certaine normalisation à l'évaluation de la vulnérabilité, le Système commun de notation des vulnérabilités (CVSS) version 3 a été créée. Il note les vulnérabilités sur un certain nombre de critères pour évaluer leur niveau de gravité. Les plages de scores sont :



  • Faible : 0,1 – 3,9
  • Moyen : 4,0 – 6,9
  • Élevé : 7,0 – 8,9
  • Critique : 9,0 – 10,0

Le score le plus élevé, c'est-à-direpire, un exploit permet à un attaquant d'exécuter le code de son choix (appeléexécution de code arbitraire) à distance; généralement par Internet. Sur les 1 020 vulnérabilités signalées par CVE Details, 808 ont une description indiquant que la vulnérabilité peut être utilisée pour exécuter du code arbitraire à distance. Ce n’est pas très surprenant puisque Flash est un plugin utilisé sur Internet, mais cela souligne à quel point il est dangereux d’avoir Flash disponible sur votre système.

En ce qui concerne les scores CVSS, 92 % des vulnérabilités signalées dans Flash ont obtenu un score élevé ou critique :

  • Critique (9.0+) : 863
  • Élevé (7,0 – 8,9) : 77

Implications en matière de confidentialité

Les problèmes de Flash ne sont pas tous liés à des vulnérabilités. Flash fournira également des informations détaillées sur votre navigateur et votre système d'exploitation aux sites de surveillance. Comme l'utilisation de VPN et des outils de confidentialité comme Tor Si les technologies sont de plus en plus adoptées, il devient de plus en plus difficile pour les adversaires de pouvoir compter sur la capacité d’identifier une personne grâce à son adresse IP. Une technologie qui remplace ce type d'identification est empreinte digitale du navigateur.

Chaque navigateur possède une sorte d’empreinte digitale. Un navigateur doit envoyerquelquesinformations à un serveur Web afin de visualiser le site Web, mais les navigateurs sur lesquels Flash est installé peuvent fournir un ensemble de données beaucoup plus riche. Plus votre navigateur fournit de données, plus son empreinte digitale est unique. Les observateurs peuvent ensuite suivre vos progrès sur Internet en voyant la même empreinte digitale du navigateur sur plusieurs sites.

A titre d'exemple, le Suis-je unique Le site Web montre que mon plugin Flash donne les informations suivantes sur mon système lorsqu'il est interrogé :

  • Liste des polices installées
  • Résolution d'écran
  • Langue du système
  • Plate-forme

Résultats Flash amiuniques

Pourquoi Flash est-il si fortement ciblé par les méchants ? Il y a quelques raisons.

Grande cible

Flash est multi-navigateur et est donc présent dans des millions de navigateurs Web à travers le monde. Le type de malware le plus efficace est celui qui peut être écrit une seule fois puis déployé sur le plus grand nombre possible de victimes. Ces types de probabilités augmentent considérablement les chances de réussite des pirates informatiques, ce qui rend les cibles importantes comme Flash attrayantes. Comme le montrent les statistiques au début de cet article, la hausse des infections Flash au fil du temps est frappante.

Confusion

Flash a une histoire longue et tortueuse, très difficile à suivre. En 2012, au moins deux numéros de version différents étaient utilisés. Un pour Windows et macOS et un pour les utilisateurs Linux. Jusqu'à cette époque, Adobe utilisait l'interface Netscape (NPAPI), mais Google venait de publier une version Pepper Plugin (PPAPI) qui était un peu plus séparée du système et était également mise à jour plus fréquemment avec de nouvelles fonctionnalités. Cela a encore modifié le système de numérotation des versions. Le Pepper Plugin est désormais le standard en partenariat avec Adobe. Avec toute cette confusion, il est difficile pour les utilisateurs de suivre la version actuelle, ce qui ne permet pas de maintenir les plugins à jour.

Les logiciels obsolètes constituent un excellent vecteur d’attaque. Une fois qu'une entreprise publie un correctif pour un problème particulier, le monde entier peut examiner ce correctif et, dans de nombreux cas, déterminer ce qui a été corrigé. Pour les méchants, cela signifie qu'ils viennent d'apprendre l'existence d'un exploit qu'ils peuvent utiliser pendant quelques jours, semaines, voire mois, contre des utilisateurs qui n'ont pas encore mis à jour leur système avec le nouveau correctif. Confondre les utilisateurs avec des numéros de version différents rend plus difficile pour les gens de savoir quand ils doivent mettre à jour.

Alternatives

HTML5 est la dernière et la meilleure version du langage HTML qui constitue le Web. Historiquement, des plugins comme Flash étaient nécessaires pour remplir des fonctionnalités que HTML ne pouvait pas fournir, comme la lecture de vidéos ou de publicités animées. HTML5 possède cette capacité intégrée et, par conséquent, la dépendance générale à l'égard de Flash est en train de disparaître. Apple n'a jamais eu Flash sur ses appareils iOS et Google l'a supprimé d'Android il y a plusieurs années. Cela ne laisse que les utilisateurs d'ordinateurs de bureau qui peuvent tomber de temps en temps sur un site Flash.

Les grands sites de vidéo tels que Netflix et YouTube ont abandonné Flash il y a des années au profit du HTML5. Facebook a également arrêté d'utiliser Flash. Google Chrome et Firefox ne sont plus livrés avec Flash installé.

Mais que se passe-t-il si vous tombez sur un site Flash qu’il vous suffit d’utiliser ? Il existe d’anciennes alternatives Flash qui ne fonctionnent généralement pas très bien. J’ai constaté que j’avais si rarement besoin de Flash que je ne l’avais même plus installé. Pour autant que je sache, l’inconvénient majeur de ma navigation sur Internet est que certaines publicités ne sont pas diffusées, ce qui ne me concerne pas vraiment. Si j'avais vraiment besoin de Flash, comme je l'ai fait pour cet article, je l'installerais et le supprimerais lorsque j'aurais terminé. C’est une installation très rapide, il n’est donc pas nécessaire de le garder caché sur mon système. Le plugin NoScript pour Firefox bloquera Flash ainsi que Javascript, donc même si je ne recommande pas du tout d'installer Flash, si vous le devez simplement, utilisez ce plugin pour le désactiver par défaut et ne l'activer que lorsque vous en avez besoin. . Pour Google Chrome, le plugin Flash Control bloquera Flash.

J'ai trouvé des alternatives Flash encore disponibles, même si la plupart d'entre elles sont désormais des abandonwares. Il n’est pas facile de dire si ces plugins seraient plus sécurisés qu’Adobe Flash et j’ai le sentiment qu’ils ne le seront pas. Dans certains cas, le code est très ancien, il semble donc que personne ne le maintienne ou ne le corrige.

Linux

Grincement

Le GNU Flash Movie Player est un projet GNU. Le projet GNU cherche à créer des versions open source de logiciels populaires afin de faciliter l'adoption de Linux. Le code de Gnash n'a pas été mis à jour depuis 2011 mais il est toujours actif GNU.org.

Étincelle lumineuse

Cela ressemble également à un abandonware. La dernière validation de code remonte à 2013. Cependant, le wiki du site a été mis à jour en 2015, il pourrait donc susciter un certain intérêt persistant.

Swfdéc

Swfdec est un lecteur Flash pour le bureau Gnome. Il a été mis à jour pour la dernière fois en 2008 et ne fonctionnera probablement pas sur les navigateurs modernes.

Mentions honorables

Ceux-ci ne comptent pas vraiment comme des alternatives Flash car, eh bien… ce ne sont pas Flash. Cela signifie que les utilisateurs ne peuvent pas décider de les utiliser pour afficher Flash à la place du plugin Adobe Flash. Il s’agit plutôt de technologies concurrentes qui méritent d’être mentionnées puisqu’elles ont marqué le web animé.

Lecteur Web Unity

Lecteur Web Unity est plutôt un moteur de jeu, mais il peut être utilisé pour afficher du contenu riche sur le Web. Il ne peut pas lire Flash directement, mais il peut gérer de nombreux formats et il n'est pas trop difficile de convertir Flash dans de nombreux autres formats.

Lumière argentée

Lumière argentée était le remplacement de Flash par Microsoft. Il n'est plus développé et arrivera en fin de vie en 2021, mais les plugins de navigateur sont toujours disponibles dans un avenir prévisible.

L'avenir de Flash est certain ; elle est condamnée, mais pas à cause de ses problèmes de sécurité. HTML 5 est plus propre car il ne nécessite pas que les utilisateurs installent ou maintiennent des plugins. Il est également plus durable car il s’agit d’un HTML natif et a donc un avenir stable et certain sur lequel les entreprises et les développeurs peuvent compter. HTML 5 aurait tué Flash de toute façon, mais nous sommes particulièrement heureux de le voir disparaître en raison de tous les problèmes de sécurité et de confidentialité qu'il soulève.

^