Tous les éditeurs de navigateurs veulent enterrer cette technologie devenue l’un des principaux vecteurs d’attaques sur le Web. La preuve : une nouvelle faille critique zero-day a été révélée hier.
L’arrivé de macOS Sierra en automne prochain va sonner le glas pour la technologie Flash sur les ordinateurs Apple. Avec le nouveau système d’exploitation, le navigateur Safari passe en version 10 et devient totalement allergique au plugin d’Adobe. Tout contenu Flash sera alors bloqué dans le navigateur, même si le plugin est installé.
Un message s’affichera dans lequel l’utilisateur pourra activer le plugin à titre exceptionnel. Il pourra également activer Flash en permanence, mais ce n’est pas le choix par défaut. Le but de la manœuvre est d’inciter fortement les administrateurs de sites web à ne plus proposer de contenu Flash et de le remplacer par du code HTML5, comme l’explique un ingénieur d'Apple dans une note de blog.
D’ailleurs, cette restriction ne concerne pas seulement Flash, mais également tous les autres plugins tels que Silverlight ou Java. Mais Flash est clairement le plugin le plus utilisé.
Apple n’est pas le seul éditeur à vouloir enterrer Flash. Firefox désactive automatiquement le plugin Flash quand celui-ci n’est plus à jour. Pour le réactiver, l’utilisateur est obligé de télécharger la nouvelle version. Google, de son côté, a annoncé qu’il allait bloquer la lecture de contenu Flash d’ici à la fin de l’année dans Chrome, alors que ce navigateur intègre nativement ce lecteur de contenu. L’utilisateur devra donc, là aussi, activer Flash à la main sauf pour un petit nombre de sites triés sur le volet (comme Youtube par exemple).
Campagnes d'attaques ciblées
Les raisons de ce désamour général sont connues : Flash est une technologie vieillissante, consommatrice d’énergie et peu sécurisée. Régulièrement, le lecteur est victime de failles zero-day critiques, activement exploitée par des pirates. La dernière en date a été révélée par Kaspersky (CVE-2016-4171).
Elle permet de prendre le contrôle à distance de la machine de l’utilisateur et elle est d’ores et déjà exploitée par un groupe de pirates baptisé ScarCruft dans le cadre de plusieurs campagnes d’attaques ciblées. Les victimes se trouvent principalement en Russie, au Népal, en Corée du sud, en Chine, en Inde, au Koweït et en Roumanie. Adobe a promis une mise à jour pour demain, 16 juin, ce qui n’est pas franchement très réactif.