Passer au contenu

Facebook veut qu’Adobe mette à mort Flash

Trois failles zero day en l’espace d’une semaine, c’est beaucoup, même pour un logiciel aussi essentiel que Flash. Pour Alex Stamos, patron de la sécurité de Facebook, ce plugin multimédia doit mourir. Et le plus tôt sera le mieux…

Au début, le Web était immobile, fait de texte et d’images. Et puis Adobe est arrivé et Flash a commencé à donner vie à la Toile. Flash a grandi, est devenu omniprésent. Les années ont passé et ce qui était le futur a pris un sérieux coup de vieux, au point que de nombreux experts en sécurité aimeraient bien le voir prendre sa retraite.
Il faut dire que ce logiciel propriétaire, installé sur un nombre incroyable de machines à travers le monde est une porte d’entrée rêvée pour les hackers mal intentionnés. Le piratage de la société de surveillance Hacking Team est un rappel de cet état de fait. Trois failles de sécurité zero day ont été découvertes dans les archives de cette entreprise pas très recommandable. La première a été corrigée en urgence par Adobe. Les deux dernières en date l’ont été après une petite poignée de jours, hier.

Firefox en position de blocage

Entre temps, Firefox a pris la décision de bloquer par défaut le lecteur multimédia, afin d’éviter les contaminations éventuelles. Une décision qui pèse lourd, même si Firefox a perdu des parts de marché ces dernières années. Il faut une action volontaire de la part des utilisateurs pour lancer la lecture d’un fichier Flash sur un site Web. Pour autant difficile de jeter la pierre aux développeurs du projet de Mozilla, les dernières failles repérées sont les 37e et 38e failles de Flash découvertes en juillet… Un score qui fait un peu peur…

Pour Facebook : la nécessité d’agir…

On comprend dès lors bien mieux pourquoi Alex Stamos, le nouveau chef de la sécurité de Facebook, a demandé via Twitter à Adobe d’annoncer la mise à mort de son logiciel. « Le temps est venu pour Adobe d’annoncer une date de fin de vie pour Flash et demander aux navigateurs de mettre en place un killbit [une interdiction d’exécution du programme, NDLR] pour le même jour ».
Pour le directeur de la sécurité de Facebook, fixer une date, « même dans 18 mois, est la seule solution pour régler tous les problèmes de dépendances et mettre à jour tout l’écosystème ».

Dans une réponse à un tweetos, Alex Stamos indiquait d’ailleurs que le géant des réseaux sociaux a déjà développé une solution, compatible avec tous les navigateurs modernes, pour que les vidéos partagées sur Facebook fonctionnent en HTML5, sans le plugin Flash. Le chargé de la sécurité reconnaît toutefois qu’il y a encore besoin d’un « peu de travail ».
Si Adobe continue de suivre Quoi qu’il en soit cette série de failles estivales pourrait ébranler Flash, même si Adobe continue à suivre sa politique habituelle qui consiste à dire que Flash est une cible de choix du fait de son omniprésence et que ses ingénieurs travaillent à fournir des mises à jour en permanence, ces mésaventures estivales pourraient peut-être finir par zapper cet édifice un peu branlant. En tout cas, le mouvement Occupy Flash, qui s’est fixé pour objectif de « débarrasser le monde du plugin Flash Player », doit se frotter les mains…

A lire aussi :
Deux autres failles zero day découvertes dans Flash après l’attaque contre Hacking Team
– 13/07/2015

Sources :
Support de Firefox

Twitter

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Pierre Fontaine