Qu’est-ce que vous avez dit ? Une vulnérabilité Flash critique ?
Comment ça oui ?
Les dernières nouvelles ne devraient surprendre personne, toutes les versions de Flash antérieures à 28.0.0.161 contiennent une vulnérabilité Flash critique que des cybercriminels pourraient utiliser pour introduire des malwares dans votre ordinateur. Adobe considère cette mise à jour comme une priorité 2, à savoir qu’aucune attaque utilisant cette vulnérabilité n’a pour l’instant été observée dans la nature.
Ne laissez pour autant pas cette évaluation, ou votre lassitude face aux vulnérabilités Flash, vous empêcher d’agir. Utiliser la version 28.0.0.161 de Flash n’est plus fiable, ainsi mettez-le à jour ou, ou mieux encore, abandonnez-le définitivement. Pour comprendre pourquoi il y a urgence, vous devez comprendre comment les vulnérabilités Flash peuvent être utilisées contre vous.
Adobe avertit qu’une exploitation réussie de cette vulnérabilité Flash pourrait conduire à “l’exécution de code arbitraire dans le contexte de l’utilisateur actuel”. Les failles RCE (Remote Code Execution) telles que celle-ci permettent à des hackers de forcer votre ordinateur à exécuter des malwares.
Dans le cas d’une vulnérabilité Flash comme celle-ci, il suffit que vous tombiez sur le mauvais site web piégé. Le simple fait de visiter ce site piègé revient tout simplement à télécharger un virus et à double-cliquer dessus pour le lancer, si l’on prend votre ordinateur par exemple.
Et nous ne parlons pas des dangers que peuvent représenter un ou deux sites. En effet, les cybercriminels peuvent compromettre autant de sites web qu’ils le veulent.
Ce n’est qu’une question de nombres. Le danger pour vous n’est pas d’être ciblé en particulier (sauf si vous êtes une cible à forte valeur), mais que vous tombiez dans le filet tendu par les cybercriminels.
Pour pouvoir piéger les visiteurs d’un site en particulier de cette manière, les cybercriminels ont besoin de bugs dans les navigateurs ou les plugins de navigateur que beaucoup d’entre nous utilisent. Flash est un candidat parfait car il est largement répandu et est aussi étanche qu’une passoire.
Et dieu sait que les vulnérabilités Flash sont populaires !
La dernière fois que nous vous avons alerté concernant une vulnérabilité Flash critique en cours d’exploitation, c’était le mois dernier. Quatre mois auparavant, en octobre 2017, il y avait déjà eu une faille zero-day.
Sans avoir à remonter trop loin en arrière, on se rappelle qu’Adobe avait dû proposer quatre correctifs zero-day en quatre mois, publiant des mises à jour critiques en mars, avril, mai et juin 2016.
A ne pas confondre avec les failles zero-day de début 2015, lorsque le patch Tuesday du 14 janvier d’Adobe avait été suivi par trois nouvelles mises à jour urgentes les 23 janvier, 24 janvier et 3 février.
Et ce ne sont que de pâles échantillons !
Quoi faire ?
Adobe a averti les utilisateurs de Google Chrome qu’ils obtiendront la mise à jour automatiquement, tout comme les utilisateurs de Microsoft Edge ou d’Internet Explorer 11 sous Windows 10 et Windows 8.1.
Pour les autres, ils ont suggéré :
De vérifier la version d’Adobe Flash Player installée sur votre système, d’accéder à la page “À propos de Flash Player”, ou bien de cliquer-droit sur le contenu en cours d’exécution dans Flash Player et sélectionner “A propos d’Adobe (ou Macromedia) Flash Player” dans le menu. Si vous utilisez plusieurs navigateurs, effectuez la vérification pour chaque navigateur que vous avez installé sur votre système …
… Adobe recommande aux utilisateurs d’Adobe Flash Player Desktop Runtime pour Windows, Macintosh et Linux d’installer la mise à jour leur permettant de passer à la version Adobe Flash Player 29.0.0.113 via le mécanisme de mise à jour du produit ou en consultant Adobe Flash Player Download Center.
Mon conseil ? Rester fidèle à Flash est exactement ce que les cybercriminels veulent que vous fassiez !
Adobe annonce la fin de Flash pour 2020. L’expérience montre qu’il faudra encore environ 3 ans aux récalcitrants pour l’abandonner définitivement. La meilleure façon de vous protéger ? Ne faites pas partie de ceux-là !
Billet inspiré de Critical Flash update. Patch now!, sur Sophos nakedsecurity.