Interrogé par nos soins, Mike explique s'être intéressé à la classe LocalConnection du langage de programmation ActionScript utilisé par Adobe Flash. Théoriquement, cette classe permet d'établir une communication entre deux fichiers SWF. Sur son site officiel Adobe explique ainsi : « Les objets LocalConnection ne peuvent communiquer qu'avec les fichiers SWF s'exécutant sur un même ordinateur client, mais peuvent s'exécuter dans diverses applications ; un fichier SWF s'exécutant dans un navigateur et un autre dans une projection, par exemple. ». Sur une boutique en ligne, après la sélection d'un article, cela permet par exemple d'actualiser le panier. Le transfert des données est effectué au sein d'une mémoire partagée normalement restreinte au lecteur.
Il semblerait en revanche que la classe LocalConnection puisse également être utilisée pour effectuer d'autres types de commandes. Mike a mis au point un site de démonstration ainsi qu'un petit programme imitant un malware. Ce dernier peut-être porté sur n'importe quel système et être « optimisé pour ne peser que 2 Ko ». Dans la mesure où ce programme n'accède à aucun port de connexion il n'est détecté par aucun antivirus. Il suffit d'entrer des commandes au sein d'une page web dotée d'un module Flash pour que celles-ci soient réalisée... directement sur sa machine.
Plutôt que d'écrire une commande manuellement comme dans l'exemple ci dessous, l'on pourrait imaginer un site frauduleux invitant l'internaute à cliquer sur un lien pour transférer ainsi une commande d'envoi de spam ou pour récupérer des informations en local et les retourner vers un serveur distant. Le prototype ci dessous montre par exemple qu'il est possible de mettre la machine en veille.
« On peut tout faire », explique Mike, « et ca fonctionne sur n'importe quel navigateur, à l'exception de Chrome 21 ». La dernière version du navigateur de Google confine effectivement le plugin au sein d'un mode sandbox, l'empêchant ainsi de communiquer avec la machine de l'utilisateur.
La faille a été repérée il y a huit mois et Mike affirme avoir contacté Adobe à plusieurs reprises. Ce comportement a précédemment été observé par des cabinet de sécurité mais n'a pas été corrigé par Adobe. « A chaque mise à jour de Flash j'ai retesté », affirme Mike. Opera, Internet Explorer, Firefox ou encore Safari sont vulnérables sur Windows XP, Vista , 7, OS X Leopard, Snow Leopard, Lion ou Mountain Lion. Sur Linux, « c'est le système des droits qui au final interdira des gros dégâts », nous précise-t-on.
Voici une vidéo de démonstration :