Extrait du blog de Matasano, société spécialisée dans la sécurité (et dont ma collègue Window Snyder est ancienne employée). Dans leur billet du jour, (via Mike Shaver) :
Reliable Flash vulnerabilities are catastrophes. In 2008, we have lots of different browsers. We have different versions of the OS, and we have Mac users. But we’ve only got one Flash vendor, and everyone has Flash installed. Why do you care about Flash exploits? Because in the field, any one of them wins a commanding majority of browser installs for an attacker.
Version française bâclée par votre serviteur :
Les failles (de sécurité) dans Flash sont des catastrophes. En 2008, on a de nombreux navigateurs différents. Nous avons différentes versions des systèmes d'exploitation et nous avons des utilisateurs de Mac. Mais il n'y a qu'un seul fournisseur pour Flash, et tout le monde a Flash installé sur sa machine. Pourquoi faut-il s'intéresser aux trous de sécurité dans Flash ? Parce que le monde réel, n'importe quelle attaque de ce genre permet à son auteur de prendre contrôle d'une vaste majorité d'ordinateurs.
Alors que l'informatique et l'Internet prennent une importance croissante de nos vies, peut-on vraiment oublier les bénéfices offerts la biodiversité en terme de sécurité ?
13 réactions
1 De ropib - 17/04/2008, 12:04
Sans oublier que le contenu ne peut pas être indexé (il me semble) et que c'est rarement agréable pour l'utilisateur si ce n'est quand celui-ci est passif comme avec la vidéo (ce qui est très restreint).
2 De bersace - 17/04/2008, 12:11
Diversité, c'est sûr. Biodiversité n'est pas approprié. Attention à ne pas abuser des mots
Cordialement,
Étienne.
3 De Seb - 17/04/2008, 12:38
A ce propos, J'ai identifié Flash comme étant très certainement la cause de nombreux crash de Firefox Mac...
Sinon, je vous signale que vous avez introduit une faille de sécurité dans votre appartement, avec la photographie de vos clefs en gros plan !!
4 De burningHat - 17/04/2008, 13:04
Bien vu... Toujours cibler le plus grand dénominateur commun pour réussir une attaque intéressante ! Ca fait donc du plugin Flash, une cible de choix !
5 De AbriCoCotier - 17/04/2008, 14:04
Heu... Je vais être chiant, mais si on aidait un peu plus le monde du libre au niveau du projet de rétro ingénierie Gnash (qui s'occupe de "refaire" le plugin flash, mais en version libre), on aurait peut-être davantage de sécurité.
Et pas que pour Flash. Le libre, dans sa globalité, est plus transparent (en fait, il est transparent, tout simplement) que le propriétaire, mais c'est sa transparence qui le rend moins vulnérable aux failles de sécurité.
Mais je ne m'étend pas plus, je crois savoir que Tristan est déjà un libriste, donc je ne vais pas en rajouter.
6 De Mem's - 17/04/2008, 14:10
En effet, la sécurité donnée par la
biodiversité est une variable non négligeable. Mais hélas actuellement il n'existe pas d'alternative (basée sur standard donc autre que Sliverlight) crédible au flash (tel SVG, HTML5 avec le support OGG).C'est pour ça qu'il faut pousser la création de format (ou l'extension de ceux qui existent déjà et au moins l'implémentation de ceux-ci) pour pouvoir ce passer enfin de ce format propriétaire et de ces problème lié à ça licence. Espérons que cela bouge rapidement ...
Cependant ce n'est pas tout à fait vrai, puisque il existe bien une alternative (en tout cas pour linux pour l'instant) du player/plugin Flash : Gnash
7 De Nicolas Bourdais - 17/04/2008, 17:34
Il y a aussi le plugin de swfdec pour mozilla:
http://swfdec.freedesktop.org/wiki/
8 De gros_bidule - 17/04/2008, 19:20
Finalement Flash c'est :
- de l'insécurité, à la vue des failles de sécurité (même si dans les faits on a plus de chance de mourir écrasé par le 4x4 rose bonbon de Céline Dion que de se faire
pénétrer, heu non introduire *sig*, heuattaquer via Flash);- pas d'accessibilité (allez proposer un site 100% Flash à une personne invalide);
- problèmes de référencement (sauf si Flash n'est là que pour décorer ou afficher des pubs);
- propriétaire (il paraît que çaylemal, ça on commence à le savoir);
- la perpétuelle recherche d'un bon côté que l'on ne trouve toujours pas !
9 De Laurent - 17/04/2008, 20:53
Bonsoir Tristan,
Gardez ce billet bien au chaud : il pourrait resservir dans quelques temps...
10 De antistress - 17/04/2008, 23:43
c'est sûr que HTML est pas du tout répandu par contre !
11 De Diti - 17/04/2008, 23:49
@gros_bidule : Concernant l'accessibilité, Adobe a fait de gros efforts. Tu essaieras d'appuyer sur la touche de tabulation quand tu seras sur un site 100 % Flash .
Mais je suis d'accord sur le reste. En plus, la technologie est gardée secrète, ça cause de l'insécurité.
12 De MarsEye - 18/04/2008, 06:51
Pensée pour feu SaVaGe.
A cette époque il y avait peut-être une chance de concurencer Flash.
Pour Gnash il faudrait une fondation bien architecturée pour que ce projet puisse aboutir.
L'autre alternative, c'est que Silverlight soit plus qu'un succès et qu'Adobe à l'instar de Sun libère le code... avant qu'il ne soit trop tard (cf OpenOffice, Java, Solaris...). Pour ces 2 derniers les temps de passages sont ricrac. Pour Flash ça risque de l'être aussi dans 2-3 ans
13 De Tristan - 18/04/2008, 08:58
@antistress : tu viens de dire une grosse connerie qui prouve que tu n'as pas compris le problème... Ce qui compte dans cette diversité, c'est celle des implémentations. Un trou de sécu dans un navigateur A n'est pas obligatoirement présent dans un navigateur B qui proposerait les même fonctionnalités. Donc oui, c'est important que le HTML soit interprété de façon identique partout (pour l'intéropérabilité), mais avec des bases de codes différentes (pour la sécurité)...