J’ai passé la majeure partie du mois dernier à mener une petite expérience pour voir à quel point le logiciel Flash Player d’Adobe, bogué et peu sûr, me manquerait si je le supprimais complètement de mes systèmes. Il s’avère que pas tant que ça.
Les plugins de navigateur sont les cibles favorites des logiciels malveillants et des mécréants car ils sont généralement pleins de failles de sécurité non corrigées ou non documentées que les cybercriminels peuvent utiliser pour prendre le contrôle total des systèmes vulnérables. Le plugin Flash Player en est un exemple frappant : Il fait partie des plugins de navigateur les plus utilisés, et il nécessite des correctifs mensuels (si ce n’est plus fréquemment).
Il n’est pas rare non plus qu’Adobe publie des correctifs d’urgence pour le logiciel afin de corriger des failles que les méchants ont commencé à exploiter avant même qu’Adobe ne soit au courant des bugs. Cela s’est produit tout récemment en février 2015, et deux fois le mois précédent. Adobe a également expédié des correctifs Flash hors bande en décembre et novembre 2014.
Mise à jour, 11h30 ET : Curieusement, Adobe vient de publier il y a quelques minutes un correctif hors bande pour corriger une faille zero-day dans Flash.
Histoire originale:
Il fut un temps où le plugin Java d’Oracle était la cible préférée des exploit kits, des outils logiciels faits pour être cousus dans des sites piratés ou malveillants et refiler aux navigateurs visiteurs un évier de cuisine d’exploits pour diverses vulnérabilités de plugins. Ces derniers temps, cependant, il semble que le pendule soit revenu en faveur des exploits pour Flash Player. Un kit d’exploitation populaire connu sous le nom d’Angler, par exemple, a intégré un nouvel exploit pour une vulnérabilité Flash trois jours seulement après qu’Adobe l’ait corrigée en avril 2015.
Donc, plutôt que de continuer la folie des patchs et de garder ce logiciel non sécurisé installé, j’ai décidé de retirer le… euh… plugin. J’ai tendance à (ab)utiliser différents navigateurs pour différentes tâches, et donc désinstaller le plugin était presque aussi simple que de désinstaller Flash, sauf avec Chrome, qui emballe sa propre version de Flash Player. N’ayez crainte : désactiver Flash dans Chrome est assez simple. Sur une installation Windows, Mac, Linux ou Chrome OS de Chrome, tapez « chrome:plugins » dans la barre d’adresse, et sur la page des plug-ins, recherchez la liste « Flash » : Pour désactiver Flash, cliquez sur le lien de désactivation (pour le réactiver, cliquez sur « enable »).
En presque 30 jours, je n’ai rencontré que deux cas où j’ai rencontré un site hébergeant une vidéo que je devais absolument regarder et qui nécessitait Flash (une vidéo d’instruction pour une salle de gym à domicile que je ne pouvais trouver nulle part ailleurs, et une audience législative diffusée en direct). Pour ces dernières, j’ai choisi de tricher et de charger le contenu dans un navigateur compatible avec Flash à l’intérieur d’une machine virtuelle Linux que je fais tourner dans VirtualBox. Avec le recul, il aurait probablement été plus simple de simplement réactiver temporairement Flash dans Chrome, puis de le désactiver à nouveau jusqu’à ce que le besoin s’en fasse sentir. Continuer la lecture →