{"id":16407,"date":"2021-02-16T11:15:09","date_gmt":"2021-02-16T11:15:09","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=16407"},"modified":"2021-02-16T11:15:09","modified_gmt":"2021-02-16T11:15:09","slug":"adobe-flash-40th-day-after","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/adobe-flash-40th-day-after\/16407\/","title":{"rendered":"Un monde sans Adobe Flash"},"content":{"rendered":"

D\u00e9but 2021, Adobe Flash a officiellement cess\u00e9 d\u2019exister<\/a>. Certains amateurs de vieux jeux bas\u00e9s sur le navigateur ont \u00e9t\u00e9 \u00e9mus mais la plupart des experts en s\u00e9curit\u00e9 informatique ont \u00e9t\u00e9 soulag\u00e9s puisque le monde \u00e9tait enfin pr\u00eat \u00e0 vivre sans cette technologie certes remarquable mais obsol\u00e8te de nos jours.<\/p>\n

Nous y \u00e9tions-nous vraiment pr\u00e9par\u00e9s\u00a0? Il s\u2019av\u00e8re que certaines personnes n\u2019utilisent toujours pas d\u2019autres outils, m\u00eame si Adobe annon\u00e7ait la fin de Flash depuis plusieurs ann\u00e9es. De plus, certains n\u00e9cromancien technologique ont commenc\u00e9 \u00e0 mettre au point certaines techniques qui permettraient de faire rena\u00eetre cette technologie. Aujourd\u2019hui, plus de 40 jours apr\u00e8s sa disparition, nous avons cherch\u00e9 \u00e0 savoir comment le monde se d\u00e9brouille (ou pas) sans Adobe Flash.<\/p>\n

Train pour Dalian<\/h2>\n

Nous ne savons toujours pas ce qu\u2019il s\u2019est vraiment pass\u00e9 avec le r\u00e9seau ferroviaire de Dalian en janvier. Les comptes-rendus relatifs \u00e0 la s\u00e9v\u00e9rit\u00e9 de l\u2019incident diff\u00e8rent mais tous sont d\u2019accord sur un point\u00a0: la fin de Flash est \u00e0 l\u2019origine de cette panne puisque le contenu reposait sur ce syst\u00e8me. Malgr\u00e9 la date officielle de la mort du certificat, 1er<\/sup> janvier, Adobe a ajout\u00e9 un d\u00e9lai de gr\u00e2ce pour que les utilisateurs aient 11 jours de plus pour faire leurs adieux \u00e0 Flash. En toute honn\u00eatet\u00e9, il est incompr\u00e9hensible de voir que certaines personnes utilisent encore Flash apr\u00e8s le 12 janvier. C\u2019\u00e9tait pourtant le cas des syst\u00e8mes ferroviaires de Dalian<\/a>.<\/p>\n

Flash est-il la cause directe des perturbations du trafic\u00a0? Quels syst\u00e8mes ont vraiment \u00e9t\u00e9 impliqu\u00e9s\u00a0? La controverse persiste mais ce n\u2019est pas vraiment ce qui nous int\u00e9resse. Les m\u00e9dias ont mentionn\u00e9 des probl\u00e8mes de distribution et de tickets. Quant aux responsables, ils ont tout simplement ni\u00e9 le probl\u00e8me<\/a>. Dans tous les cas, l\u2019\u00e9quipe d\u2019assistance technique a travaill\u00e9 d\u2019arrache-pied et a finalement r\u00e9ussi \u00e0 faire fonctionner Adobe Flash sur les ordinateurs des gares de la ligne, ce qui a rendu les syst\u00e8mes \u00e0 nouveau op\u00e9rationnels. Adobe Flash est d\u00e9sormais \u00e0 jour et fonctionne\u00a0; tout semble \u00eatre revenu \u00e0 la normale, du moins pour le moment.<\/p>\n

En termes de s\u00e9curit\u00e9 des informations, cette r\u00e9ussite n\u2019est pas vraiment louable. Une partie de cette infrastructure critique (bien que les t\u00e2ches ne soient pas sensibles) utilise d\u00e9sormais une technologie que l\u2019on sait obsol\u00e8te.<\/p>\n

Un autre aspect, diff\u00e9rent mais en lien, est que de nombreuses grandes entreprises lancent des mises \u00e0 jour partielles parce que leurs bonnes pratiques les obligent \u00e0 d\u2019abord tester les mises \u00e0 jour sur des machines dans un environnement isol\u00e9 consacr\u00e9 aux tests. Peut-\u00eatre que le syst\u00e8me de transports ferroviaires de Dalian suit cette pratique. Nous n\u2019en savons rien. Les protocoles de mises \u00e0 jour ne sont pas vraiment le probl\u00e8me ici. Adobe n\u2019a pas mis \u00e0 jour Flash le 12 janvier mais a mis fin \u00e0 ses jours. Ce code assassin a \u00e9t\u00e9 programm\u00e9 longtemps \u00e0 l\u2019avance, y compris avant la derni\u00e8re mise \u00e0 jour (le 8 d\u00e9cembre). D\u2019ailleurs, un correctif aurait bien fonctionn\u00e9 dans n\u2019importe quel environnement de test.<\/p>\n

Peut-\u00eatre, avec le recul, qu\u2019un code de fin de vie int\u00e9gr\u00e9 n\u2019est pas la meilleure solution pour mettre un terme \u00e0 une technologie si largement utilis\u00e9e.<\/p>\n

Bureau des imp\u00f4ts en Afrique du Sud<\/h2>\n

Le South African Revenue Service<\/em> est responsable de la perception des imp\u00f4ts dans tout le pays et de nombreux dossiers sont d\u00e9sormais d\u00e9pos\u00e9s en ligne. Le 12 janvier, le service des imp\u00f4ts s\u2019est soudainement rendu compte<\/a> que ces formulaires en ligne reposaient sur Adobe Flash.<\/p>\n

Au lieu de repousser la date limite de soumission des formulaires et de modifier le code des formulaires en utilisant une technologie plus actuelle, le service des imp\u00f4ts a pr\u00e9f\u00e9r\u00e9 lancer un navigateur sp\u00e9cial et compatible avec Adobe Flash. Les contribuables d\u2019Afrique du Sud doivent donc utiliser une technologie obsol\u00e8te pour soumettre des informations financi\u00e8res sensibles.<\/p>\n

Le gouvernement sud-africain n\u2019a pas cr\u00e9\u00e9 un navigateur \u00e0 partir de rien. Il s\u2019est servi d\u2019une version rudimentaire de Chromium qui ne donne acc\u00e8s qu\u2019\u00e0 un seul site. Cette solution de secours n\u2019est pas mortelle mais nous ne savons pas si le service envisage de mettre \u00e0 jour son navigateur.<\/p>\n

Pour le moment le programme n\u2019existe que sur Windows, donc les utilisateurs d\u2019autres syst\u00e8mes d\u2019exploitation devront chercher une autre fa\u00e7on d\u2019ex\u00e9cuter le contenu Flash, ce qui est dangereux. Nous esp\u00e9rons que cette solution n\u2019est que temporaire et que le service va finalement abandonner Flash.<\/p>\n

Alternatives<\/h2>\n

Il existe d\u2019autres fa\u00e7ons d\u2019ex\u00e9cuter Flash. Pire encore, il y a une forte demande et il ne s\u2019agit pas seulement des amateurs de vieux jeux qui utilisent Flash. Certaines entreprises assez importantes utilisent encore cette technologie pour certains services (la plupart d\u2019entre eux sont internes). Recherchez \u00ab\u00a0comment utiliser Flash apr\u00e8s 2021\u00a0\u00bb et vous obtiendrez tout un tas de liens avec des instructions que vous ne devriez pas suivre.<\/p>\n

Par exemple, une alternative consiste \u00e0 installer une version ant\u00e9rieure \u00e0 celle qui mettait fin \u00e0 Flash Player. M\u00eame si Adobe a supprim\u00e9 les liens des anciennes versions du programme sur son site, on les trouve sur des sites non officiels. C\u2019est assez inqui\u00e9tant puisque non seulement l\u2019utilisation de l\u2019ancienne version de n\u2019importe quel programme repr\u00e9sente des risques mais en plus les dangers augmentent lorsque l\u2019utilisateur d\u00e9cide de t\u00e9l\u00e9charger un logiciel depuis un site non officiel. Qui sait ce qu\u2019une personne sans scrupules a ajout\u00e9 au pack d\u2019installation\u2026<\/p>\n

Certains utilisateurs ont publi\u00e9 des versions et des instructions qui permettent de neutraliser le code de fin de vie int\u00e9gr\u00e9 et d\u2019autoriser les contenus Flash.<\/p>\n

D\u2019autres conseils semblent \u00eatre un peu plus sens\u00e9s. Par exemple, plusieurs extensions de navigateurs reposent sur Ruffle, un \u00e9mulateur Flash Player qui exploite les technologies sandboxing<\/em> des navigateurs modernes. De plus, selon les cr\u00e9ateurs de Ruffle<\/a>, le programme est \u00e9crit en langue Rust et la base de la s\u00e9curit\u00e9 m\u00e9moire<\/a> neutralise les probl\u00e8mes et les vuln\u00e9rabilit\u00e9s habituels de Flash.<\/p>\n

Plut\u00f4t int\u00e9ressant, mais n\u2019oubliez pas que Ruffle est un projet open-source<\/em> maintenu par des passionn\u00e9s. Il reste \u00e0 voir si cet enthousiasme sera suffisant. Ruffle pourrait aussi avoir ses propres vuln\u00e9rabilit\u00e9s que quelqu\u2019un corrigera en temps voulu.<\/p>\n

Des solutions sp\u00e9cialis\u00e9es en B2B ont aussi fait leur apparition. Par exemple, Harman a sign\u00e9<\/a> un accord exclusif avec Adobe pour construire et venir en aide aux navigateurs personnalis\u00e9s qui utilisent encore Flash pour les entreprises qui ne sont pas pr\u00eates \u00e0 l\u2019abandonner.<\/p>\n

Que faire si vous avez encore besoin de Flash<\/h2>\n

Si vous ne pouvez pas imaginer votre vie sans cette technologie, nous vous conseillons de suivre les conseils suivants\u00a0:<\/p>\n