Une étude publiée par GeoEdge révèle que la technologie Flash a été accusée à tort. Elle ne serait pas la cause profonde des campagnes de Malvertising (utilisation de la publicité en ligne pour diffuser des logiciels malveillants). Mieux encore, il est rapporté que l’adoption du HTML 5 ne change rien, ce type annonce ne protégera pas d’avantage les utilisateurs contre les attaques. Pourquoi ? Les vulnérabilités se situent aux niveaux des plateformes publicitaires.
Flash n’est pas l’ennemi numéro un
Flash a été et reste lié à l’idée d’une application fortement vulnérable en raison de son apparition dans d’importantes campagnes de cyber-espionnage et de Malvertising.
Cette mauvaise réputation a été entretenue par la découverte périodique et constante de vulnérabilités par les chercheurs, obligeant Adobe à réagir. Son action a été, dans un premier temps, assez lente face à l’importance des problèmes. Il a fallu la décision de rendre, par défaut, inactif le plugin Flash dans les navigateurs, pour que les choses changent.
En parallèle la technologie HTML 5 a profité d’ajouts appropriés dans l’unique but de pouvoir remplacer la solution d’Adobe. L’HTML 5 a été lancé en octobre 2014.
Depuis il remplace progressivement Flash dans le marché de la publicité. De nombreux réseaux publicitaires tels que Google et Amazon ont annoncé l’arrêt de sa prise en charge pour les annonces dites « statiques » sachant qu’il reste d’actualité pour la diffusion de publicité vidéo.
Flash ou HTLM 5, le problème n’est pas à ce niveau
Selon l’étude GeoEdge, Flash est accusé à tord. Les attaques utilisant des annonces publicitaires malveillantes (malvertising), ne reposent pas nécessairement sur l’annonce elle-même, mais d’avantage sur des problèmes liés aux infrastructures réseau de diffusion.
Il est expliqué que par exemple, pour les annonces vidéo, la racine du « Malvertising » se situe dans les normes publicitaires VAST et VPAID (règles communes de diffusion concernant le chemin pris par les données entre l’annonceur et l’éditeur).
A partir de ce constat, les technologies Flash ou HTML 5 ne sont plus vraiment concernées puisque les failles se situent ailleurs dans le processus de diffusion. Elles concernent des « points » dit critiques dans le réseau de diffusion. Ils sont utilisés par les annonceurs ou les réseaux publicitaires pour mettre en place des empreintes digitales et pister les internautes.
De là, il devient assez facile, dans ces points critiques, d’injecter un code JavaScript malveillant en lieu et place d’un code de suivi ou d’instruction de diffusion. La nature de l’annonce (HTML 5 ou Flash) ne change rien au problème.
GeoEdge souligne toutefois
« Les annonces Flash ont certains avantages. Cependant, en termes de sécurité, le HTML5 est l’option la plus sûre […] Le principale problème dans le malvertising vidéo est malheureusement plus fondamental »
Le rapport de GeoEdge aborde les annonces vidéo mais la situation reste identique pour les annonces dites « statiques ». Qu’elles soient de type Flash ou HTML5, le vrai problème repose sur la conception de certains réseaux de publicité qui permettent aux annonceurs de diffuser un code JavaScript personnalisé.
Moralité : se débarrasser de la publicité et on sera enfin tranquille ^^
Une popup malicieux est plus facile à éviter qu’un fichier swf infecté qui va se servir des failles 0 day de flash pour infecter le système en toute discretion. un flash infection n’a pas besoin d’action d’utilisateur pour infecter une machine contrairement au html…
Bref débarrassez vous de flash