Flash : l'über vulnérabilité ?

Les dernières actualités en matière de vulnérabilité, que ce soit sur les plateformes mobiles, les machines virtuelles ou les navigateurs laissent penser que Flash est la une fonctionnalité qui comporte en elle-même sa propre vulnérabilité.

Avènement du Web 2.0 oblige, la plupart des pages Web consultées ne sont plus des pages statiques mais comportent des images, des vidéos, des galeries photos, en bref, des gadgets interactifs et attrayants qui accrochent l’œil et donnent envie à l’internaute de continuer sa navigation. Mais Flash est sa propre vulnérabilité, ainsi que peuvent le montrer deux cas survenus cette semaine.  

Le malware Crisis, également appelé Morcut, est un rootkit infectant tant les machines sur Windows – mobiles inclus – que celles sur iOS. Récemment, des chercheurs ont découvert qu’ils pouvaient également s’attaquer aux machines virtuelles.

Concrètement Crisis se répandait de façon relativement classique : à travers un faux installeur d’Adobe Flash Player. Il était alors capable d’enregistrer les conversations passées avec Skype, de capturer les messages instantanés et de traquer les sites Web visités avec Firefox et Safari.

La nouveauté de ce malware est le fait qu’il est capable de se répandre dans une machine-hôte via une machine virtuelle. A titre d’exemple, on peut s’en servir pour tester certaines distributions sans les installer de façon permanente. L’avantage de la machine virtuelle était que lorsque l’on l’arrêtait, tous les processus en cours d’exécution s’arrêtaient également. Les réalisations opérées dans une machine virtuelle restaient dans la machine virtuelle et n’étaient pas « dupliquées » dans la machine principale. Il y avait donc une frontière étanche.

A titre d’exemple, Securinets, dans le cadre du Securiday 2009, avait procédé à l’analyse dynamique d’un botnet. Dans le compte-rendu d’analyse, il avait été expliqué que les formateurs avaient fait le choix de travailler avec des machines virtuelles car elles peuvent être connectées à un réseau, sans pour autant prendre le risque d’infecter d’autres machines. De façon plus générale, dans une machine virtuelle, on peut aligner les sottises sans faire trop de dégâts.

Crisis a fait sauter cette frontière entre les deux puisqu’il est capable d’infecter la machine hôte à travers la machine virtuelle, sous Windows.

Autre exemple : Adobe a récemment déclaré arrêter de distribuer l’application-client pour les applications Android, afin d’en privilégier une autre.

Plus précisément, le support de Flash pour Jelly Bean n’est plus géré.

Mais cette décision, annoncée bien en avance, a doublement pénalisé les nouveaux utilisateurs d’Android, qui ne peuvent plus télécharger Android Flash Player sur Google Play mais qui deviennent victimes de nouvelles menaces.

En effet, s’engouffrant dans cette brèche, des personnes malintentionnées ont alors proposées des applications malveillantes en les faisant passer pour l’application Android Flash Player. Les malwares signalées sont de types Trojan et Adware. Conscient du problème que cela a créé, Adobe propose une dernière version de Flash Player Android sur son site.

Enfin, l’autre problème de Flash est qu’il ne repose pas sur des standards ouverts, ce qui pourrait expliquer pourquoi cette technologie n’est pas particulièrement appréciée des libristes.