Une petite fenêtre s’est ouverte pour vous informer d’une mise à jour de Flash ? Si c’est le cas, évitez de fermer l’avertissement comme vous l’avez fait plusieurs fois (je sais !) et installez la nouvelle version du plugin immédiatement. Une preuve de concept montre qu’il est possible de modifier un fichier Flash pour envoyer des requêtes à des pages compromises, ce qui peut entraîner le vol de données sensibles de l’utilisateur.
Le problème a été exposé par Michele Spagnuolo, ingénieur en sécurité de l’information chez Google, dans son blog personnel. La preuve de concept, appelée Rosetta Flash, permettrait de convertir tout fichier Flash binaire en un fichier malveillant composé uniquement de lettres et de chiffres. Ce fichier est capable d’utiliser le Flash du navigateur de l’utilisateur pour accéder aux cookies et autres données stockées par les sites web qui utilisent le JSONP, une technique qui permet la communication de données entre différents serveurs.
Avec l’accès aux cookies, le fichier malveillant peut envoyer des demandes à une page compromise comme si vous faisiez de telles demandes. En d’autres termes, un criminel pourrait avoir accès à des données sensibles, ce qui, dans des conditions normales, ne serait possible qu’avec votre mot de passe en main. Ce problème était déjà connu, mais personne n’y a jamais prêté beaucoup d’attention car il n’y avait pas d’outils connus capables d’effectuer la conversion de fichiers Flash.
Il faudra encore du temps pour que tous les utilisateurs installent la nouvelle version de Flash, c’est pourquoi M. Spagnuolo a suggéré de faire une correction sur les services web eux-mêmes, afin que l’écart ne soit pas exploité. Les services de Google ont déjà gagné le patch pour combler le fossé. Twitter, Instagram, Tumblr et eBay ont également permis l’exploitation de la vulnérabilité et ont été informés du problème.
Mais si vous ne voulez pas attendre que les services fassent leurs propres corrections, il est bon de mettre à jour le plugin Flash sur votre ordinateur. Chrome et Internet Explorer 10 ou supérieur disposent du plugin Flash intégré, vous n’avez donc rien à faire : il suffit d’installer les correctifs distribués par Google et Microsoft. Si vous utilisez Firefox, Safari ou un autre navigateur, allez sur cette page Adobe et téléchargez la nouvelle version.
Vous pouvez vérifier quelle est la version de votre Flash sur cette page d’Adobe. La version qui corrige le problème est la 14.0.0.145 pour Windows et OS X ou la 11.2.202.394 pour Linux (Adobe a abandonné Flash pour Linux, mais continue à proposer des mises à jour de sécurité) ? le nouveau Flash does des contrôles de sécurité supplémentaires pour empêcher les demandes malveillantes. L’échec découvert a été classé par Adobe comme priorité 1, la pire possible.
