Passer au contenu

Microsoft : Edge laisse Facebook exécuter du code Flash sans votre autorisation

Le navigateur par défaut de Windows 10 contient une liste blanche dont il est difficile de justifier l’existence et qui expose les utilisateurs à des attaques incontrôlables.

L’info

Edge, le navigateur de Microsoft intégré à Windows 10, contient une liste blanche de sites qui peuvent exécuter du code Flash sans que l’utilisateur ait besoin de donner son autorisation.

Jusqu’à ce mois de février, cette liste contenait 58 entrées pour autant de sites, dont des sous-domaines de Microsoft, Deezer, Yahoo ou encore QQ, un réseau social chinois. Le plus étonnant – et qui fait s’interroger sur la réflexion qui a présidé à la composition de cette liste – est la présence du site d’un coiffeur espagnol : https://dgestilistas.es/.

https://twitter.com/ifsecure/status/1097875798487433218

Ce que ça implique

Ces différents sites avaient ainsi l’autorisation de contourner la politique de click to play, qui prévoit que les contenus Flash présents sur un site Web ne peuvent s’exécuter que si l’utilisateur l’autorise explicitement. 

Ivan Fratric, chercheur en sécurité du Google Project Zero, qui a découvert cette liste blanche et a rapporté le bug en novembre dernier, estime que cela pose un gros problème de sécurité, car certains des sites pré-autorisés sont connus pour souffrir de failles XSS (pour cross-site scripting, un type de faille qui permet l’injection de code malveillant dans une page). Ce qui pourrait aboutir à l’exécution de code Flash dangereux et à la contamination des machines utilisant Edge.

Désormais Microsoft a réduit la liste blanche à seulement deux domaines de Facebook, le site principal et son sous-domaine apps.facebook.com. Le chercheur en sécurité s’interroge sur le besoin de maintenir un passe-droit dangereux pour Facebook. Sans doute est-ce pour permettre l’exécution des nombreux jeux Flash présents sur la plate-forme sociale.

Le contexte

La technologie Flash, appelée à prendre sa retraite partielle ou semi-définitive en 2020, est très critiquée en matière de sécurité. C’est un véritable nid à failles dont il faut éviter au maximum l’utilisation au quotidien. Les navigateurs ont tendance à en bloquer l’exécution par défaut.

A lire aussi :
Firefox 69 va enfin désactiver le plugin Adobe Flash
Chrome 69 : le navigateur de Google enterre Flash… un peu plus encore

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Pierre FONTAINE