Une étude publiée par GeoEdge révèle que la technologie Flash a été accusée à tort. Elle ne serait pas la cause profonde des campagnes de Malvertising (utilisation de la publicité en ligne pour diffuser des logiciels malveillants). Mieux encore, il est rapporté que l’adoption du HTML 5 ne change rien, ce type annonce ne protégera pas d’avantage les utilisateurs contre les attaques. Pourquoi ? Les vulnérabilités se situent aux niveaux des plateformes publicitaires.
Flash a été et reste lié à l’idée d’une application fortement vulnérable en raison de son apparition dans d’importantes campagnes de cyber-espionnage et de Malvertising.
Cette mauvaise réputation a été entretenue par la découverte périodique et constante de vulnérabilités par les chercheurs, obligeant Adobe à réagir. Son action a été, dans un premier temps, assez lente face à l’importance des problèmes. Il a fallu la décision de rendre, par défaut, inactif le plugin Flash dans les navigateurs, pour que les choses changent.
En parallèle la technologie HTML 5 a profité d’ajouts appropriés dans l’unique but de pouvoir remplacer la solution d’Adobe. L’HTML 5 a été lancé en octobre 2014.
Depuis il remplace progressivement Flash dans le marché de la publicité. De nombreux réseaux publicitaires tels que Google et Amazon ont annoncé l’arrêt de sa prise en charge pour les annonces dites « statiques » sachant qu’il reste d’actualité pour la diffusion de publicité vidéo.
Selon l’étude GeoEdge, Flash est accusé à tord. Les attaques utilisant des annonces publicitaires malveillantes (malvertising), ne reposent pas nécessairement sur l’annonce elle-même, mais d’avantage sur des problèmes liés aux infrastructures réseau de diffusion.
Il est expliqué que par exemple, pour les annonces vidéo, la racine du « Malvertising » se situe dans les normes publicitaires VAST et VPAID (règles communes de diffusion concernant le chemin pris par les données entre l’annonceur et l’éditeur).
A partir de ce constat, les technologies Flash ou HTML 5 ne sont plus vraiment concernées puisque les failles se situent ailleurs dans le processus de diffusion. Elles concernent des « points » dit critiques dans le réseau de diffusion. Ils sont utilisés par les annonceurs ou les réseaux publicitaires pour mettre en place des empreintes digitales et pister les internautes.
De là, il devient assez facile, dans ces points critiques, d’injecter un code JavaScript malveillant en lieu et place d’un code de suivi ou d’instruction de diffusion. La nature de l’annonce (HTML 5 ou Flash) ne change rien au problème.
GeoEdge souligne toutefois
« Les annonces Flash ont certains avantages. Cependant, en termes de sécurité, le HTML5 est l’option la plus sûre […] Le principale problème dans le malvertising vidéo est malheureusement plus fondamental »
Le rapport de GeoEdge
L’Epic Games Store offre cette semaine deux nouveaux jeux dont Industria. L’offre n’est pas à… Lire d'avantage
Men of War II a désormais une date de sortie et un prix. A l’occasion… Lire d'avantage
Dragon’s Dogma 2 est la cible d’une mise à jour. Elle se déploie automatiquement à… Lire d'avantage
Les pilotes graphiques Adrenalin 24.4.1 WHQL débarquent avec des optimisations Jour J, des améliorations de… Lire d'avantage
La RX 7900 XTX passe sous la barre des 850 $. Elle incarne aujourd’hui le… Lire d'avantage
La guerre des prix se poursuit sur le segment des cartes graphiques et en particulier… Lire d'avantage
Voir commentaires
Moralité : se débarrasser de la publicité et on sera enfin tranquille ^^
Une popup malicieux est plus facile à éviter qu'un fichier swf infecté qui va se servir des failles 0 day de flash pour infecter le système en toute discretion. un flash infection n'a pas besoin d'action d'utilisateur pour infecter une machine contrairement au html...
Bref débarrassez vous de flash