navigateurs

Un monde sans Adobe Flash

À notre Adobe Flash pas tant aimé.

Nikolay Pankov
16 Fév 2021

Début 2021, Adobe Flash a officiellement cessé d’exister. Certains amateurs de vieux jeux basés sur le navigateur ont été émus mais la plupart des experts en sécurité informatique ont été soulagés puisque le monde était enfin prêt à vivre sans cette technologie certes remarquable mais obsolète de nos jours.

Nous y étions-nous vraiment préparés ? Il s’avère que certaines personnes n’utilisent toujours pas d’autres outils, même si Adobe annonçait la fin de Flash depuis plusieurs années. De plus, certains nécromancien technologique ont commencé à mettre au point certaines techniques qui permettraient de faire renaître cette technologie. Aujourd’hui, plus de 40 jours après sa disparition, nous avons cherché à savoir comment le monde se débrouille (ou pas) sans Adobe Flash.

Train pour Dalian

Nous ne savons toujours pas ce qu’il s’est vraiment passé avec le réseau ferroviaire de Dalian en janvier. Les comptes-rendus relatifs à la sévérité de l’incident diffèrent mais tous sont d’accord sur un point : la fin de Flash est à l’origine de cette panne puisque le contenu reposait sur ce système. Malgré la date officielle de la mort du certificat, 1^er janvier, Adobe a ajouté un délai de grâce pour que les utilisateurs aient 11 jours de plus pour faire leurs adieux à Flash. En toute honnêteté, il est incompréhensible de voir que certaines personnes utilisent encore Flash après le 12 janvier. C’était pourtant le cas des systèmes ferroviaires de Dalian.

Flash est-il la cause directe des perturbations du trafic ? Quels systèmes ont vraiment été impliqués ? La controverse persiste mais ce n’est pas vraiment ce qui nous intéresse. Les médias ont mentionné des problèmes de distribution et de tickets. Quant aux responsables, ils ont tout simplement nié le problème. Dans tous les cas, l’équipe d’assistance technique a travaillé d’arrache-pied et a finalement réussi à faire fonctionner Adobe Flash sur les ordinateurs des gares de la ligne, ce qui a rendu les systèmes à nouveau opérationnels. Adobe Flash est désormais à jour et fonctionne ; tout semble être revenu à la normale, du moins pour le moment.

En termes de sécurité des informations, cette réussite n’est pas vraiment louable. Une partie de cette infrastructure critique (bien que les tâches ne soient pas sensibles) utilise désormais une technologie que l’on sait obsolète.

Un autre aspect, différent mais en lien, est que de nombreuses grandes entreprises lancent des mises à jour partielles parce que leurs bonnes pratiques les obligent à d’abord tester les mises à jour sur des machines dans un environnement isolé consacré aux tests. Peut-être que le système de transports ferroviaires de Dalian suit cette pratique. Nous n’en savons rien. Les protocoles de mises à jour ne sont pas vraiment le problème ici. Adobe n’a pas mis à jour Flash le 12 janvier mais a mis fin à ses jours. Ce code assassin a été programmé longtemps à l’avance, y compris avant la dernière mise à jour (le 8 décembre). D’ailleurs, un correctif aurait bien fonctionné dans n’importe quel environnement de test.

Peut-être, avec le recul, qu’un code de fin de vie intégré n’est pas la meilleure solution pour mettre un terme à une technologie si largement utilisée.

Bureau des impôts en Afrique du Sud

Le South African Revenue Service est responsable de la perception des impôts dans tout le pays et de nombreux dossiers sont désormais déposés en ligne. Le 12 janvier, le service des impôts s’est soudainement rendu compte que ces formulaires en ligne reposaient sur Adobe Flash.

Au lieu de repousser la date limite de soumission des formulaires et de modifier le code des formulaires en utilisant une technologie plus actuelle, le service des impôts a préféré lancer un navigateur spécial et compatible avec Adobe Flash. Les contribuables d’Afrique du Sud doivent donc utiliser une technologie obsolète pour soumettre des informations financières sensibles.

Le gouvernement sud-africain n’a pas créé un navigateur à partir de rien. Il s’est servi d’une version rudimentaire de Chromium qui ne donne accès qu’à un seul site. Cette solution de secours n’est pas mortelle mais nous ne savons pas si le service envisage de mettre à jour son navigateur.

Pour le moment le programme n’existe que sur Windows, donc les utilisateurs d’autres systèmes d’exploitation devront chercher une autre façon d’exécuter le contenu Flash, ce qui est dangereux. Nous espérons que cette solution n’est que temporaire et que le service va finalement abandonner Flash.

Alternatives

Il existe d’autres façons d’exécuter Flash. Pire encore, il y a une forte demande et il ne s’agit pas seulement des amateurs de vieux jeux qui utilisent Flash. Certaines entreprises assez importantes utilisent encore cette technologie pour certains services (la plupart d’entre eux sont internes). Recherchez « comment utiliser Flash après 2021 » et vous obtiendrez tout un tas de liens avec des instructions que vous ne devriez pas suivre.

Par exemple, une alternative consiste à installer une version antérieure à celle qui mettait fin à Flash Player. Même si Adobe a supprimé les liens des anciennes versions du programme sur son site, on les trouve sur des sites non officiels. C’est assez inquiétant puisque non seulement l’utilisation de l’ancienne version de n’importe quel programme représente des risques mais en plus les dangers augmentent lorsque l’utilisateur décide de télécharger un logiciel depuis un site non officiel. Qui sait ce qu’une personne sans scrupules a ajouté au pack d’installation…

Certains utilisateurs ont publié des versions et des instructions qui permettent de neutraliser le code de fin de vie intégré et d’autoriser les contenus Flash.

D’autres conseils semblent être un peu plus sensés. Par exemple, plusieurs extensions de navigateurs reposent sur Ruffle, un émulateur Flash Player qui exploite les technologies sandboxing des navigateurs modernes. De plus, selon les créateurs de Ruffle, le programme est écrit en langue Rust et la base de la sécurité mémoire neutralise les problèmes et les vulnérabilités habituels de Flash.

Plutôt intéressant, mais n’oubliez pas que Ruffle est un projet open-source maintenu par des passionnés. Il reste à voir si cet enthousiasme sera suffisant. Ruffle pourrait aussi avoir ses propres vulnérabilités que quelqu’un corrigera en temps voulu.

Des solutions spécialisées en B2B ont aussi fait leur apparition. Par exemple, Harman a signé un accord exclusif avec Adobe pour construire et venir en aide aux navigateurs personnalisés qui utilisent encore Flash pour les entreprises qui ne sont pas prêtes à l’abandonner.

Que faire si vous avez encore besoin de Flash

Si vous ne pouvez pas imaginer votre vie sans cette technologie, nous vous conseillons de suivre les conseils suivants :

Réfléchissez-y à nouveau et essayez plutôt de mettre à jour le contenu de votre site.
Utilisez un environnement virtuel pour exécuter les anciennes versions et les solutions de secours rudimentaires. Seulement en cas de nécessité absolue.
Installez une solution de sécurité qui détecte les tentatives d’exploitation des vulnérabilités, même si vous utilisez une alternative qui semble sans danger.

Guide pour des rencontres en ligne sûres et privées

Comment configurer et utiliser les applications de rencontre en toute sécurité et discrétion.

Conseils

Souris, le petit oiseau (le vrai) va sortir, ou de nouvelles façons de reconnaître les deepfake

Comment distinguer une photo ou vidéo réelle d’un trucage et retracer sa provenance.

Passer à Kaspersky : guide de migration pas à pas

Comment faire passer la cyberprotection de votre ordinateur ou de votre smartphone à la solution de sécurité la plus primée de Kaspersky ?

Patron ou escroc ? Escroquerie sous couvert de demandes de votre patron

Vous avez reçu un message inattendu de la part de votre patron ou d’un collègue qui vous demande de « régler un problème » ? Attention aux escrocs ! Comment pouvez-vous vous protéger, vous et votre entreprise, contre une attaque potentielle ?

Assurer la sécurité du domicile

Les entreprises de sécurité proposent des technologies intelligentes, principalement des caméras, pour protéger votre maison contre les vols, les incendies et les autres incidents. Mais qu’en est-il de la protection des systèmes de sécurité eux-mêmes contre les intrus ? Nous comblons cette lacune.

Protection des enfants

Un monde sans Adobe Flash

Train pour Dalian

Bureau des impôts en Afrique du Sud

Alternatives

Que faire si vous avez encore besoin de Flash

Kaspersky Next : une nouvelle gamme de solutions de sécurité

Des distributions Linux infectées par un code malveillant

Guide pour des rencontres en ligne sûres et privées

Conseils

Souris, le petit oiseau (le vrai) va sortir, ou de nouvelles façons de reconnaître les deepfake

Passer à Kaspersky : guide de migration pas à pas

Patron ou escroc ? Escroquerie sous couvert de demandes de votre patron

Assurer la sécurité du domicile

Abonnez-vous et recevez tous nos titres à la une par e-mail

Solutions pour les particuliers

TPE

PME

Grande entreprise

Securelist

Eugene Personal Blog

Encyclopédie de Kaspersky