Adobe est actuellement sur la brèche : des rapports lui ont été transmis sur l’existence d’une faille critique 0-day dans Flash. Elle est exploitée par un groupe de pirates qui s’en est déjà pris à plusieurs ministères des Affaires étrangères et dont les méthodes ressemblent trait pour trait à celles utilisées contre la Maison Blanche au printemps dernier.
Flash comporte actuellement une faille de sécurité déjà exploitée depuis un moment par des pirates. Il n’est pas encore possible de la colmater, Adobe n’ayant été mis au courant que récemment. L’éditeur a déjà confirmé que ses ingénieurs travaillaient sur le sujet et il ne serait donc pas étonnant de voir apparaître dans les jours qui viennent une mise à jour urgente pour le lecteur Flash, d’autant que ce sont les versions les plus récentes qui sont touchées, avec une possible extension sur des moutures plus anciennes.
Une faille critique déjà exploitée contre des ministères
C’est la société Trend Micro qui a tiré la sonnette d’alarme hier. Elle indiquait dans un billet explicatif que la faille est en fait utilisée depuis plusieurs mois déjà dans des campagnes d’espionnage et de collecte d’informations par un groupe de pirates nommé Pawn Storm. Le groupe aurait ainsi déjà attaqué avec succès plusieurs ministères des Affaires étrangères, toujours en suivant le même modus operandi : un email parfaitement aligné sur l’actualité et les besoins de la personne à qui il est adressé.
Une méthode qui rappelle directement celle utilisée contre la Maison Blanche au printemps dernier. Le mail contient différents liens vers des sujets en général brûlants de l’actualité. Ils sont censés mener vers des ressources intéressantes, comme des informations complémentaires sur les évènements actuels. Mais, comme on s’en doute, ils ne sont pas authentiques et il s’agit bien d’une tentative de phishing. Dès que l’on en sélectionne un, la page qui s’ouvre dans le navigateur contient le code d’exploitation de la faille.
Un lecteur Flash difficilement évitable
On retombe ici directement sur l’un des aspects de la chute des plugins, comme nous l’abordions dans une actualité récente. Mozilla rejoignait ainsi Google et Microsoft dans la volonté de ne plus accepter ces modules, à l’exception très notable de Flash. Mais la solution retenue pour augmenter la sécurité et la stabilité était alors d’embarquer le plugin directement au sein des navigateurs. De fait, non seulement le lecteur Flash est très courant, mais la méthode utilisée le rend en fait presque incontournable. D'où l'intérêt pour les pirates d'y trouver des vulnérabilités
Trend Micro note en tout cas la forte ressemblance du type de lien fourni dans le mail avec les attaques contre la Maison Blanche et l’OTAN, mais sans franchir le pas du lien évident. Parmi les actions ensuite entreprises, on trouve les inévitables installations de malwares, la mise en place de faux serveurs Outlook Web Access (ce qui n’est pas sans rappeler l’attaque récente contre une grande entreprise dont les serveurs Exchange avaient été reconfigurés) ou encore la modification des paramètres DNS pour le courrier entrant. Ce dernier point est notamment avéré pour l’un des ministères des Affaires étrangères touchés, Trend Micro indiquait que Pawn Storm a de fait eu la possibilité de récupérer des informations pendant plusieurs mois.
Prudence en attendant le correctif
Mais, même si la faille est critique, exploitable à distance et d’ailleurs déjà exploitée depuis plusieurs mois, le grand public court moins de risques. La vulnérabilité a été utilisée dans des attaques extrêmement ciblées au long cours (APT, Advanced Persistent Threat). Cependant, on rappellera que lorsqu’un processus comme celui-ci devient éventé, la faille tombe immédiatement dans le « domaine public » du piratage. Les groupes qui n’étaient pas en possession de ses détails peuvent d’autant plus la découvrir et s’en servir dans des attaques beaucoup plus larges.
En attendant qu’un correctif soit diffusé par Adobe, prudence donc sur les emails reçus et les liens qui peuvent y figurer.
Commentaires (33)
On dirait qu’ils font exprès (“bientôt un correctif ne vous inquiétez pas, de toutes façons les pirates l’utilisent déjà…”) pour donner à tout le monde l’envie de fuir ces produits à daube.
Les failles sont transparentes pour les utilisateurs Lambdas. Par contre, la dernière version me cause des soucis sur Urchin et ça, faudra bien le corriger aussi.
Comme déjà dit dans la dernière news “faille flash”, désactivé chez moi (Edge), il sert de moins en moins…
Cela n’existe pas des filtres mail qui détectent les liens de phishing ? J’imagine qu’il faut avoir sa boite chez google pour ça, non ?
Il y a des filtres dans les navigateurs et les anti spams.
Encore faut il que les sites soient connus.
pourquoi ne pas abandonner purement et simplement le flash car ça ferait une grosse faille en moins dans windows et sur mac ???
Adobe est contre
" />
La seule solution que j’ai trouvé, c’est encore une fois d’éduquer les gens…
Perso je règle le plug-in flash (sous FF) comme étant “demander pour activer”. Sur pas mal de sites “grand public”, les lecteurs sont alors en HTML 5 et du coup ne gênent pas les utilisateurs.
Pour ceux voulant absolument Flash, j’explique aux gens d’autoriser site pas site. Et si le site est très connu (Kickstarter p-e) on peut même l’ajouter de manière permanente sans trop craindre.
Sinon cette histoire est somme toute basique, avec un gros phishing qui tâche, des utilisateurs non-avertis et une faille dans un plug-in. A toutes ces étapes, un utilisateurs sensibilisé peut éviter le drame.
Je me demande si cette faille n’est pas corrigée avec la version 19.0.0.207 qui vient de sortir…
J’ai tout simplement arreter d’installer flash sur mes machines et tant pis pour les sites web qui l’utilisent encore , ils ne m’auront plus comme visiteur.
j’ai plus de pluginflahs depuis 6 mois
franchement on s’en passe très bien depuis qu’on peut lire les video sans flahs sur la plupart des sites
J’ai renouvelé mon PC portable, et je suis en train de faire une experience : ne pas installer flash du tout.
" />
Je suis parti de l’idee qu’Apple avait banni le Flash, et donc la plupart des sites actuels devaient certainement pouvoir faire sans.
Ma réaction en lisant le titre : encore !
Un lecteur Flash difficilement évitable
Pas d’accord, ça fait des années qu’on parle de ce trou de sécu béant, les sites ont largement eu le temps de voir venir.
Faut éduquer les webmaster en leur apprenant que Flash c’est fini et qu’il faut y trouver une alternative.
Je ne partage pas ce point de vue.
Tu vas échanger Flash contre les DRM pour lire des contenus protégés.
Flash a l’avantage d’être multiplateforme.
Il est plus ou moins connu et réimplémenté en libre.
Les EME ne se lanceront pas sur une plateforme inconnue et impossible de faire un client alternatif.
Tu ne pourras pas regarder sous le capot.
https://en.wikipedia.org/wiki/Encrypted_Media_Extensions
c’est prévu….
http://fr.occupyflash.org/
C’est l’historique qui fait que ces plugins sont installés. Et comme beaucoup de DSI sont d’une lenteur, ça traine. Déjà que les DSI privées sont lentes, je te laisse imaginer un ministère…
Avant de changer un truc, il faut des textes, des décrets, un appel d’offre, des devis, une conception MVC à 15 couches, de la recette pendant 2 ans, et enfin une mise en production avec des technos datées de 10 ans.
On voit l’important de la sécurité informatique avec Flash qui était censé devenir indispensable il y a +10 ans et qui ne fait que multiplier les failles critiques et c’est l’une des raisons principales de son déclin.
multiplateforme, oui, ça supporte tous les windows et tous les internet explorer
" />