Flash : l’über vulnérabilité ?
Les dernières actualités en matière de vulnérabilité, que ce soit sur les plateformes mobiles, les machines virtuelles ou les navigateurs laissent penser que Flash est la une fonctionnalité qui comporte en elle-même sa propre vulnérabilité.
Avènement du Web 2.0 oblige, la plupart des pages Web consultées ne sont plus des pages statiques mais comportent des images, des vidéos, des galeries photos, en bref, des gadgets interactifs et attrayants qui accrochent l’œil et donnent envie à l’internaute de continuer sa navigation. Mais Flash est sa propre vulnérabilité, ainsi que peuvent le montrer deux cas survenus cette semaine.
Le malware Crisis, également appelé Morcut, est un rootkit infectant tant les machines sur Windows – mobiles inclus – que celles sur iOS. Récemment, des chercheurs ont découvert qu’ils pouvaient également s’attaquer aux machines virtuelles.
Concrètement Crisis se répandait de façon relativement classique : à travers un faux installeur d’Adobe Flash Player. Il était alors capable d’enregistrer les conversations passées avec Skype, de capturer les messages instantanés et de traquer les sites Web visités avec Firefox et Safari.
La nouveauté de ce malware est le fait qu’il est capable de se répandre dans une machine-hôte via une machine virtuelle. A titre d’exemple, on peut s’en servir pour tester certaines distributions sans les installer de façon permanente. L’avantage de la machine virtuelle était que lorsque l’on l’arrêtait, tous les processus en cours d’exécution s’arrêtaient également. Les réalisations opérées dans une machine virtuelle restaient dans la machine virtuelle et n’étaient pas « dupliquées » dans la machine principale. Il y avait donc une frontière étanche.
A titre d’exemple, Securinets, dans le cadre du Securiday 2009, avait procédé à l’analyse dynamique d’un botnet. Dans le compte-rendu d’analyse, il avait été expliqué que les formateurs avaient fait le choix de travailler avec des machines virtuelles car elles peuvent être connectées à un réseau, sans pour autant prendre le risque d’infecter d’autres machines. De façon plus générale, dans une machine virtuelle, on peut aligner les sottises sans faire trop de dégâts.
Crisis a fait sauter cette frontière entre les deux puisqu’il est capable d’infecter la machine hôte à travers la machine virtuelle, sous Windows.
Autre exemple : Adobe a récemment déclaré arrêter de distribuer l’application-client pour les applications Android, afin d’en privilégier une autre.
Plus précisément, le support de Flash pour Jelly Bean n’est plus géré.
Mais cette décision, annoncée bien en avance, a doublement pénalisé les nouveaux utilisateurs d’Android, qui ne peuvent plus télécharger Android Flash Player sur Google Play mais qui deviennent victimes de nouvelles menaces.
En effet, s’engouffrant dans cette brèche, des personnes malintentionnées ont alors proposées des applications malveillantes en les faisant passer pour l’application Android Flash Player. Les malwares signalées sont de types Trojan et Adware. Conscient du problème que cela a créé, Adobe propose une dernière version de Flash Player Android sur son site.
Enfin, l’autre problème de Flash est qu’il ne repose pas sur des standards ouverts, ce qui pourrait expliquer pourquoi cette technologie n’est pas particulièrement appréciée des libristes.
Mmmmh, fatiguée peut-être ?
Mmmmh, fatiguée peut-être ?
s/la une/une/
s/statistique/statique/
et sûrement quelques autres.
Surtout, je ne vois pas le rapport avec Flash en particulier dans les vulnérabilités que tu évoques. Qu’un malware fasse une privilege escalation ou un escape de VM, ça n’a d’une part rien d’extraordinaire tant que l’exploit est là ; ça n’a d’autre part rien à voir avec Flash.
S’échapper d’une VM sous Windows, ça dépend clairement de la technologie de virtualisation, de la version de l’hyperviseur, bref : une vulnérabilité assez classique d’escape de VM, rien de plus.
Finalement, le seul point que je t’accrode, c’est l’utilisateur béat qui installe la fausse distribution de Flash bourrée de code malicieux, rien de plus au final qu’un standard package plein de malware, juste la couche SE en plus à grands coups de « tu n’as plus Adobe Flash, on te propose mieux ».
Ah oui exact. Morale de l
Ah oui exact. Morale de l’histoire : pas toujours une bonne idée d’écrire à 7h du matin. :p
En fait, j’entends et je lis souvent que Flash met en péril la sécurité d’une machine, justement parce que certaines attaques utilisent la SE. N’oublions pas que beaucoup de pages Web n’hésitent que le navigateur intègre ce type de technologie mais parfois au détriment d’un utilisateur, qui, sans être forcément béat, n’est pas toujours attentif. Enfin, c’est pour ça que j’ai mis une forme interrogative dans le titre, c’est pour qu’on puisse en discuter, que chacun expose ses idées, ses arguments 🙂