Adobe va renforcer Flash pour contrer les hackers

Florian Innocente |

Adobe va accélérer le déploiement de nouveaux mécanismes dans Flash pour compliquer la vie des malandrins qui en exploitent des failles de sécurité. Depuis le piratage des données de la société italienne Hacking Team, trois failles inconnues qu'elle utilisait au bénéfice de ses clients ont été dévoilées. Adobe en a corrigé une (référencée CVE-2015-5119) et deux autres, découvertes ce week-end, vont l'être incessamment sous peu (CVE-2015-5122 et CVE-2015-5123).

Wiebke Lips, responsable de la communication chez Adobe, a assuré à The Register que des mesures étaient déjà en chantier pour freiner cet incessant va-et-vient entre la découverte de failles et leur correction.

En plus d'un durcissement généralement du code et de la recherche en interne de failles et de leurs corrections, un axe majeur a été le développement de techniques pour empêcher des familles entières de vulnérabilités d'être exploitées. La mise en service de certaines de ces techniques était sur notre feuille de route mais elle a été avancée au vu des récents développements.

En attendant d'en savoir plus sur la manière dont Adobe va procéder, Wiebke Lips insiste évidemment sur le fait que ces questions sont prises très au sérieux par les équipes de l'éditeur. Ceux qui espèrent qu'Adobe va mettre Flash de côté en seront pour leurs frais (lire Le chef de la sécurité de Facebook veut un Flashxit).


avatar moon21 | 

trop tard....
perso je m'en passe très bien.

avatar iapx | 

+1 pour renforcer efficacement et durablement la sécurité d'Adobe Flash/Shockwave, la désinstallation est la meilleure procédure jusqu'à présent.

Quand on n'arrive pas sécuriser un logiciel en 10ans, on peut s'imaginer que ça ne va pas arriver du jour au lendemain, cela nécessiterait probablement une ré-écriture complète plutôt que de jouer sur une couche de sécurité (comme ça semble se préparer!).

Rendez-vous à la prochaine faille 0-day sur Flash, d'ici fin juillet ou au pire en aout si les hackers sont partis à la plage/montagne...

avatar noooty | 

Adobe flash o'zor, le dinosaure qui essaie de survivre dans un monde nouveau...

avatar sangoke | 

Oulalalalala les pirates ont peur dis donc, sacré contre attaque de la part d'adobe ^^ LOL

avatar Ali Baba | 

Non mais à un moment il faut accepter de ranger les antiquités au musée.

avatar two | 

#flashxit

avatar ce78 | 

Arrêter Flash ce serait plus simple pour tout le monde. C'est insupportable ces sites tout en Flash. Insupportable.

avatar CBi | 

On s'est beaucoup plaint de l'obsolescence programmée. Mais avec Flash, c'est l'obsolescence continue = il se passe peu de temps après avoir installé une nouvelle version, que déjà Safari affiche : "Flash obsolète"...

avatar Kyra00 | 

"Adobe va renforcer Flash"...

Ah parce que ce n'est pas déjà ce qu'ils étaient sensés faire ?

avatar Mahpoul22 | 

Je viens de me lol dessus.

avatar Arth | 

Jobs l'avait prédit ! #flashxit

avatar spece92 | 

@Arth :
+1

avatar Androshit | 
avatar MiLe | 

Trop tard pour moi aussi, j'ai viré Flash il y a plus d'un mois. Et c'est sans regrets!

avatar LeSedna | 

En même temps qui utilise flash ? Je n'ai pas vu de fenêtre flash depuis des mois si ce n'est une bonne année !

avatar pat3 | 

Malheureusement: Allociné: http://www.allocine.fr/ ; l'INA: http://www.ina.fr/
C'est d'autant plus con qu'ils ont l'un et l'autre une app iOS qui utilise la même base de données, mais sans Flash…

avatar alan1bangkok | 

j'utilise Flash sans soucis

avatar nemrod | 

@alan1bangkok :
Tu as un message ?

avatar jipeca | 

Ben peut-etre celui ci :
Nouveau Code Web, attire l'inquiétude sur les risques concernant la vie privée
Par Tanzina VEGA – New York Times.

Les inquiétudes sur la vie privée de l'Internet ont stimulé des poursuites judiciaires, des théories du complot ou de l'anxiété de la part des consommateurs, alors que les les "marquetteurs" trouvent de nouvelles façons de suivre les utilisateurs d'ordinateurs sur Internet.
Mais les alarmistes n' ont encore rien vu.
Dans les prochaines années, une nouvelle suite puissante de fonctionnalités sera disponible pour les développeurs Web qui pourraient donner aux "marquetteurs" et annonceurs un accès à beaucoup plus de détails sur les activités en ligne des utilisateurs informatiques.
Presque tout ceux qui utilisent l'Internet feront face à des risques de la vie privée qui accompagnent ces nouvelles capacités, qui sont une partie intégrante du language Web qui bientôt alimentera Internet : HTML 5.
Le nouveau code de Web, la cinquième version de "Hypertext Markup Language" utilisé pour créer des pages Web, est déjà en cours d'utilisation limitée, et il promet d'inaugurer une nouvelle ère de navigation sur Internet dans les prochaines années. Il sera ainsi plus facile pour les utilisateurs de visualiser un contenu multimédia sans avoir à télécharger de logiciel supplémentaire; consulter les e-mails hors connexion; ou trouver un restaurant favori ou faire ses achats via un smartphone.

La plupart des utilisateurs clairement accueillent favorablement les fonctionnalités supplémentaires qui viennent avec le nouveau langage Web.

Samy Kamkar a créé un logiciel pour montrer à quel point les ordinateurs pourraient être infiltré par les dernières technologies Web.

avatar jipeca | 

Et ca continue :
"Ca va changer tout ce qui concerne l'Internet et la façon dont nous l'utilisons aujourd'hui", a déclaré, enthousiate, James Cox, 27 ans, un consultant indépendant et développeur de logiciels de "Smokeclouds", une start-up New York City. "Il n'y a pas simplement que HTML 5. C'est LE nouveau Web."

Mais d'autres, tout aussi enthousiaste au sujet des changements, sont plus prudents.
La plupart des utilisateurs du Web sont familiers avec ce qu'on appelle des cookies, qui permettent, par exemple, de se connecter à des sites Web sans avoir à retaper les noms d'utilisateur et mots de passe ou de garder une trace des articles placés dans des caddies virtuels avant qu'ils ne soient achetés.
Le nouveau langage Web et ses fonctionnalités supplémentaires présentent davantage de possibilités de suivi parce que la technologie utilise un processus avec lequel de grandes quantités de données peuvent être collectées et stockées sur le disque dur de l'utilisateur en ligne.
En raison de ce processus, les annonceurs et les autres pourraient, disent les experts, avoir accès à des semaines voire à des mois de données personnelles. Cela pourrait inclure la localisation d'un utilisateur, le fuseau horaire, photographies, textes extraits de blogs, contenu du panier shopping , e-mails et histoirique des pages Web visitées.

Le nouveau language Web "procure aux 'traqueurs' un nouveau fausceau permettant d'obtenir leurs informations de suivi" a déclaré Hakon Wium Lie, le directeur de la technologie chez Opéra, la société du navigateur bien connu.
Ou comme Pam Dixon, le directeur exécutif du Forum Mondial de Confidentialité (World Privacy Forum) en Californie, a déclaré: "HTML 5 ouvre la boîte de Pandore de suivi dans l'Internet."

avatar jipeca | 

Des représentants du Consortium World Wide Web disent qu'ils prennent très au sérieux les questions concernant la vie privée de l'utilisateur. L'organisation, qui supervise les spécifications développeurs orientés vers le nouveau langage Web, tiendra un atelier sur les technologies Internet et la vie privée.

Ian Jacobs, responsable de la communication au consortium, a déclaré que le processus de développement pour le nouveau langage Web inclurait un examen public. "Il y a la responsabilité," at-il dit. "Cela n'est pas pas une cabale secrète pour une adoption globale de ces normes fondamentales."

Les fonctionnalités supplémentaires offertes par le nouveau langage Web sont déjà mis en œuvre par un programmeur en Californie qui a créé ce qui, à première vue, pourrait être une nouvelle menace majeure à la vie privée en ligne.

Samy Kamkar, un programmeur Californie mieux connu dans certains cercles pour avoir créé un virus appelé le «ver Samy", qui décrocha MySpace.com en 2005, a créé un cookie qui ne peut pas être facilement supprimé, même par des experts - quelque chose qu'il appelle un Evercookie .
Certains observateurs appellent ça un "supercookie" car il stocke les informations dans au moins 10 endroits sur l' ordinateur, beaucoup plus que ce a quoi on à l' habitude. Il combine des outils de suivi traditionnels avec de nouvelles fonctionnalités offertes par ce nouveau langage Web.
En créant le cookie, M. Kamkar a attiré des commentaires de blogueurs sur Internet qui en donnent des descriptions qui varient de «très persistant» à «horrible».

avatar jipeca | 

M. Kamkar, cependant, a dit qu'il ne l'a pas créé afin violer la vie privée de quiconque. Il s'est d'abord déclaré curieux de savoir comment les annonceurs le suivaient sur Internet. Après avoir catalogué ce qu'il avait trouvé sur son ordinateur, il a conçu le Evercookie pour démontrer à quel point les ordinateurs des gens pourraient être infiltrés par la dernière technologie Internet.
"Je pense qu'il est OK pour eux de dire qu'ils voulent offrir un meilleur service," a déclaré M. Kamkar des annonceurs qui ont placé les cookies de suivi sur son ordinateur. "Cependant, je dois aussi rester en mesure de le retirer parce qu'il se trouve sur MON ordinateur."
M. Kamkar, dont les 2 005 virus ont contourné garanties navigateur et qui a ajouté plus d'un million "amis" sur sa page MySpace en moins de 20 heures, a dit qu'il avait pas l'intention de tirer profit de l'Evercookie et n'a pas l'intention de le vendre à des annonceurs.
"Ce ne serait pas difficile," at-il dit. Au lieu de cela, il ouvert code ouvert à tous ceux qui veulent l'examiner et dit que le cookie doit être utilisé "comme un test décisif pour la prévention du suivi."
Une récente vague de recours collectifs a accusé les grandes entreprises de médias comme le Fox Entertainment Group et NBC Universal, et des entreprises de technologie comme Clearspring Technologies et Quantcast, de violer la vie privée des utilisateurs par le suivi de leurs activités en ligne, même après qu'ils aient ... pris des mesures pour empêcher cela.
La plupart des gens pensent à contrôler leur vie privée en ligne en ajustant les paramètres de leurs navigateurs Web les plus courants aujourd'hui, qui comprennent Internet Explorer (et bientôt Edge) de Microsoft, Firefox de Mozilla, Safari de Apple, et Opera, qui est très utilisé principalement en Europe et en Asie et sur les appareils mobiles.

avatar jipeca | 

Chaque navigateur a différents paramètres de confidentialité, mais pas tous n'ont des paramètres évidents pour enlever les données créées par le nouveau langage Web. Même les ingénieurs et développeurs les plus compétents logiciels reconnaissent que la suppression de ces données est délicate et peut nécessiter plusieurs étapes.
"Maintenant, il ya tellement de sources de stockage de données, il est très difficile pour les fabricants de navigateur pour gérer cela," a dit M. Cox.
M. Kamkar et des experts de la vie privée disent que les concepteurs de navigateurs Web devraient convenir sur un contrôle pour éliminer toutes les capacités de suivi en une fois. "Il devrait y avoir suffisamment de commandes simples pour prendre soin de chaque chose", a déclaré Mme Dixon, qui a ajouté que certains navigateurs collectaient automatiquement de grandes quantités de données, sauf si un utilisateur averti leur spécifie de ne pas le faire.
M. Lie reconnait que ces entreprises "ont beaucoup de pouvoir." Mais il a dit qu'ils craignent que les paramètres de confidentialité qu'ils développent soient trop stricts. Par exemple, a-t-il dit Opéra a essayé une fois de mettre plus de contrôles sur certains types de cookies, mais les utilisateurs en Russie se plaignait que les contrôles empêchaient un site populaire de réseautage social de fonctionner correctement.
Mais les développeurs de logiciels et les représentants de la WorldWideWeb font valoir que au fur et à mesure des progrès de la technologie, les consommateurs doivent équilibrer sa vitesse et ses fonctionnalités en fonction de leur propes capacité à contrôler eux-même leur vie privée."Vous pouvez faire plus, mais vous devez être conscient de la façon dont vos information pourraient être utilisées et même mal utilisée", a déclaré M. Jacobs. «Ce sont les questions des droits.""Je pense qu'il est OK pour eux de dire qu'ils voulent offrir un meilleur service," a déclaré M. Kamkar des annonceurs qui placent des cookies de suivi

avatar bbtom007 | 

Je prend mes photos sans flash

avatar Mark Twang | 

Geoportail en flash... La lose.

avatar le ratiocineur masqué | 

perso j'attends avec impatience la 2ème saison.

avatar oomu | 

c'est inhérent à ce qu'est flash : un module binaire opaque qui exécute du code arbitraire provenant d'internet

ça sera pareil avec tout autre programme similaire, réécriture, code nouveau, vieux, etc.

C'est le principe même d'exécution de code compilé ou pseudo-compilé aussi vite que possible par le cpu, via un code opaque (non ouvert et surveillé par tout le monde) qui permet les failles à répétitions.

ce n'est pas propre à Flash (même s'il cumule et qu'il est surtout le plus populaire et utile de ces greffons) ni à Adobe.

Si Apple, Microsoft ou IBM avaient fait pareil, c'aurait été le même problème

et d'ailleurs ce fut le même problème: le plugin quicktime, heureusement limité à des fonctions vidéos, avait le même genre de soucis.
Microsoft avec ActiveX et Silverlight recréait _EXACTEMENT_ la même catastrophique galactique que Flash.

Netscape n'aurait jamais du créer l'api pour les greffons dans les années 90s.

avatar ipaforalcus | 

@oomu :
C'est un peu le principe d'un navigateur^^

Sinon moi ça fait 8 ans maintenant que je n'utilise plus flash au profit de l'HTML5, depuis le premier iPhone...

avatar DarKOrange | 

En gros ils vont encore rajouter des failles...

avatar jipeca | 

Sans doute, sauf que HTLM5 est une faille en lui même. Et la plus importante qui ait jamais existé. Avec en plus la bénédiction de tous, surtout des entreprises et des agences gouvernementales ou autres, et les remerciements empressés des utilisateurs qui acceptent ce qu'on leur serine depuis quelques années. Ben tiens, Saint Steve a dit !
Même le fait que Facebook en rajoute de nombreuses couches ne pose question a personne.
Avec le HTLM5, vous vous préparer 20 ans de flicage en tout genre, avec le sourire. Vous vous plaignez de Flash ? Ben c'est un jouet, Flash. Face à la formule 1 qu'est HTLM5, Flash va très vite se révéler une trottinette. Et au cas ou vous ne le sauriez pas, les magnifiques empreintes digitales tant vantées sur les "sites Saint Apple", et que vous avez déja sur vos iPhone et cie, sont de parfait exemples de "evercookies" que vous vous empressez d'utiliser. Bravo pour la précaution et l'auto-information

avatar Mobyduck | 

Il y a une mise à jour de dispo pour Flash, on passe de la version 18.0.0.203 à la 18.0.0.209.

avatar 8enoit | 

Ah! Ils vont renforcer leur passoire. Et moi qui croyait bêtement que c'était prévu dès le départ.

avatar jipeca | 

Bêtement en effet !

avatar Ginger bread | 

Visiblement ce n est pas la fin:/

avatar nayals | 

Je transmets un message de Valéry Giscard d'Estaing pour Flash :

"au revoir"

avatar pierrot99 | 

Perso j'ai essayé de me passer de flash en le désactivant et en demandant l'activation au coup par coup, c'est juste l'enfer, il n'y a quasiment pas un site qui ne l'utilise pas d'une façon ou d'une autre. Ceux qui disent naviguer sans soit naviguent assez peu (en comparaison de moi dont c'est une partie du métier) soit voient la moitié des sites (et ne sont pas génés, tant mieux pour eux).

Pour ma part j'ai toujours été un ennemi "gentil" de flash mais je pense néanmoins que si l'on trouve autant de failles, c'est surement parce qu'Adobe n'est finalement pas très bon (les suites CS ont bcp de bug sauf que ça ne concerne pas la sécurité sur internet ... quoiqu'avec la CC maintenant) mais aussi parce que c'est un des trucs les plus utilisés sur la planète et donc forcément une porte d'entrée moultes fois testée et analysée par les hackers.

Je pense que tous les beaux esprits ici qui tapent ici sur flash seraient bien marris d'apprendre que leurs navigateurs et tous les logiciels et systèmes qu'ils utilisent sont tout autant vérolés et que donc il vaudrait mieux éviter de tirer sur l’ambulance flash si l'on ne peut pas prouver que l'on fait mieux. Y compris Jobs dont le système OSX ne brille pas actuellement dans ce domaine avec des tas de failles qui ne seront même pas corrigées, au moins Adobe "semble" retrousser les manches.

Ça me rappelle tous les ceusses qui tapent allègrement sur WordPress, Spip, Drupal et consorts en disant que seul un CMS codé maison est sûr ... ce qui est sûr c'est que si le moindre hacker s'intéressait à leur code, il ne ferait pas long feu. Leur seule protection est l'anonymat le plus complet, leur code est inviolé car ... inconnu. On peut dire que c'est une forme de protection, mais si leur bidule atteint la notoriété de flash, il sera lui aussi blindé de failles, c'est à peu près certain.

avatar poulpe63 | 

Et hop, une petit mise à jour de Chrome... (Version 43.0.2357.132 m)

avatar poulpe63 | 

Et hop, une petit mise à jour de Chrome... (Version 43.0.2357.132 m -> Version 43.0.2357.134 m )

EDIT : oups, on dirait que ça a buggué sur l'edit :p

avatar bandecons | 

c'est quand meme pathétique que dès que l'on met un commentaire qui ne plait pas, on se fait ban.
Au journalistes: bande de charlots, changez de métier . Il y a des gens compétents qui ne demandent qu'a travailler. Laissez votre place. On manque de main d'oeuvre dans la voirie. avec un pic et une pioche, vous serez probablement moins lamentables.

CONNEXION UTILISATEUR