Sujet : FLASH | | Posté le 11-04-2008 ŕ 07:52:28
| sécurité Flash, nouvelle porte d'entrée pour les pirates Les outils de développement ont introduit une vulnérabilité dans les fichiers SWF. Il est recommandé aux webmasters de tous les régénérer. Et aux internautes de télécharger les mises à jour Adobe. Saviez-vous que certains outils de développement Flash ont généré des fichiers SWF avec des vulnérabilités critiques ? Et les outils en question ne sont pas les moins utilisés : il s'agit entre autres d'Adobe Dreamweaver, d'Adobe Contribute, d'Adobe Acrobat Connect, d'Infosoft FusionCharts et de Techsmith Camtasia. Une situation corrigée depuis peu mais qui crée un historique de failles de sécurité. Les vulnérabilités générées dans les fichiers SWF permettent aux pirates de réaliser des attaques dites de cross-site scripting (XSS). Mal codé, un fichier Flash peut laisser trop de libertés à du code javascript, capable de s'exécuter dans un navigateur. En cliquant, par exemple, sur un lien contenant discrètement un tel code, un particulier peut permettre à un pirate de prendre le contrôle de sa session. Des centaines de milliers de fichiers concernés En janvier dernier, ces failles de sécurité ont été documentées par Rich Cannings, un ingénieur de Google. Selon lui, elles concerneraient des centaines de milliers de fichiers SWF sur la Toile, dont un certain nombre sur des sites importants. Depuis, les éditeurs ne sont pas restés inactifs. Toutes les solutions citées précédemment ont été mises à jour et les fichiers qu'ils génèrent désormais ne représentent plus de risque. Par ailleurs, Adobe vient de publier une mise à jour du Flash Player qui sécurise la lecture de fichiers SWF vulnérables. http://www.adobe.com/support/security/bulletins/apsb08-11.html Tout est donc bien qui finit bien ? Pas tout à fait, notamment en raison du succès de Flash. Presque la totalité des utilisateurs du Web est aujourd'hui équipée d'un lecteur Flash. Il n'est pas certain que la mise à jour sera correctement déployée, surtout chez les particuliers. « Les attaquants pourront donc toujours exploiter les lecteurs Flash non mis à jour. De plus, de nouveaux vecteurs d'attaque similaires seront peut-être découverts. La seule solution fiable consiste donc à corriger le problème à sa source au niveau des documents Flash présents sur les sites Web », explique Thomas Gayet, directeur adjoint au sein de Cert-Lexsi, une cellule de veille en sécurité informatique. Autre problème : les développeurs Flash n'ont pas encore le réflexe sécuritaire, tout simplement parce que dans leur domaine les failles étaient rares. « C'est une communauté qui n'est pas forcément sensibilisée au départ à la sécurité », estime Thomas Gayet. Un nouveau modèle de sécurité Dans les semaines à venir, les webmasters et les « flasheurs » vont donc avoir du pain sur la planche s'ils veulent être sûrs que leurs sites soient sécurisés au maximum. Non seulement ils sont invités à régénérer l'ensemble des anciens fichiers SWF, mais en plus ils vont devoir changer leurs méthodes de codage. En effet, la dernière mise à jour du lecteur Flash est plus stricte quant à l'utilisation de connexions sockets ou XMLsockets, de requêtes HTTP et de code JavaScript dans l'ActionScript. Adobe a édicté un certain nombre de règles qu'il faudra désormais respecter. Toutefois, selon l'éditeur, les conséquences de ce durcissement sont très faibles. « Un développeur Flash est capable d'adapter son application au nouveau modèle de sécurité Flash en quelques minutes », explique Michaël Chaize, consultant avant-vente d'Adobe France. |
|
|
|