Flash Player : une classe d'ActionScript jugée trop peu sécurisée

Guillaume Belfiore
Par Guillaume Belfiore, Rédacteur en chef adjoint.
Publié le 09 août 2012 à 18h57
Un lecteur de Clubic explique avoir repéré un comportement étrange au sein du plugin Flash Player, lequel permet d'établir une communication directe entre la page web et les composants du système.

00AF000004436504-photo-logo-adobe-flash.jpg
Interrogé par nos soins, Mike explique s'être intéressé à la classe LocalConnection du langage de programmation ActionScript utilisé par Adobe Flash. Théoriquement, cette classe permet d'établir une communication entre deux fichiers SWF. Sur son site officiel Adobe explique ainsi : «  Les objets LocalConnection ne peuvent communiquer qu'avec les fichiers SWF s'exécutant sur un même ordinateur client, mais peuvent s'exécuter dans diverses applications ; un fichier SWF s'exécutant dans un navigateur et un autre dans une projection, par exemple.  ». Sur une boutique en ligne, après la sélection d'un article, cela permet par exemple d'actualiser le panier. Le transfert des données est effectué au sein d'une mémoire partagée normalement restreinte au lecteur.

Il semblerait en revanche que la classe LocalConnection puisse également être utilisée pour effectuer d'autres types de commandes. Mike a mis au point un site de démonstration ainsi qu'un petit programme imitant un malware. Ce dernier peut-être porté sur n'importe quel système et être « optimisé pour ne peser que 2 Ko ». Dans la mesure où ce programme n'accède à aucun port de connexion il n'est détecté par aucun antivirus. Il suffit d'entrer des commandes au sein d'une page web dotée d'un module Flash pour que celles-ci soient réalisée... directement sur sa machine.

Plutôt que d'écrire une commande manuellement comme dans l'exemple ci dessous, l'on pourrait imaginer un site frauduleux invitant l'internaute à cliquer sur un lien pour transférer ainsi une commande d'envoi de spam ou pour récupérer des informations en local et les retourner vers un serveur distant. Le prototype ci dessous montre par exemple qu'il est possible de mettre la machine en veille.

« On peut tout faire », explique Mike, « et ca fonctionne sur n'importe quel navigateur, à l'exception de Chrome 21 ». La dernière version du navigateur de Google confine effectivement le plugin au sein d'un mode sandbox, l'empêchant ainsi de communiquer avec la machine de l'utilisateur.

La faille a été repérée il y a huit mois et Mike affirme avoir contacté Adobe à plusieurs reprises. Ce comportement a précédemment été observé par des cabinet de sécurité mais n'a pas été corrigé par Adobe. « A chaque mise à jour de Flash j'ai retesté », affirme Mike. Opera, Internet Explorer, Firefox ou encore Safari sont vulnérables sur Windows XP, Vista , 7, OS X Leopard, Snow Leopard, Lion ou Mountain Lion. Sur Linux, « c'est le système des droits qui au final interdira des gros dégâts », nous précise-t-on.

Voici une vidéo de démonstration :

Guillaume Belfiore
Rédacteur en chef adjoint
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Abonnez-vous à notre newsletter !

Recevez un résumé quotidien de l'actu technologique.

Désinscrivez-vous via le lien de désinscription présent sur nos newsletters ou écrivez à : [email protected]. en savoir plus sur le traitement de données personnelles