Voilà une nouvelle qui va encore passer inaperçue pour le monde flashy du e-commerce. Toutefois, elle pose de sérieuses questions en matière de sécurité informatique : tous les ordinateurs qui visionnent des animations au format Flash peuvent être piratés...
Qui n’a pas vu danser dans son navigateur une réplique un peu améliorée de Maya l’Abeille ? Ou vu s’animer des choses plus sérieuses comme des diaporamas ? Tout cela est rendu possible par un format de fichiers répondant au doux nom de Flash. Ce format est propriétaire. C’est-à-dire qu’il faut un petit programme en plus du navigateur pour le lire. On parle de plug-in. À peu près 90 % des navigateurs seraient équipés du plug-in Shockwave Flash. Jusqu’ici, tout va bien, d’autant que le Flash apporte une véritable animation, certains diront une interactivité, et en tout cas un aspect multimédia au Web. Sauf que mardi 2 janvier, un mail posté dans Bugtraq (une liste de diffusion pour les chasseurs de bugs) est venu jeter plus qu’un doute sur ledit plug-in... Avec quelques connaissances, un pirate peut potentiellement prendre le contrôle de l’ordinateur de tout internaute qui visionnerait son code Flash un peu spécial.
Ça déborde...
L’auteur de l’info, Neal Krawetz, explique dans son advisory (alerte de sécurité) que le plug-in est sujet à ce que l’on appelle un débordement de pile (buffer overflow). En clair, si l’on envoie une requête trop longue au plug-in cela va faire planter le navigateur... ou... exécuter un vilain bout de code qui permettra de prendre le contrôle de l’ordinateur cible. Un scénario, un peu tiré par les cheveux mais parfaitement réalisable, serait le suivant : un pirate crée une animation flash qui lui permettra de contrôler les ordinateurs cibles. Il lance un site et la met sur la page d’accueil. Il récolte ensuite le plus d’adresses e- mail possible des membres d’une grosse entreprise comme Microsoft et leur envoie une proposition alléchante avec le lien pointant sur son site. Il attend et dispose rapidement d’un nombre certain d’ordinateurs " vérolés ", prêts à être utilisés pour remonter sur le réseau interne de l’entreprise ciblée... La méthode diffère, mais le résultat serait le même que lors de l’attaque récente ayant permis à un ou des intrus d’accéder au code source de produits de Microsoft.
"C’est quoi un buffer overflow ?"
Contactée mercredi, la branche française de Macromedia ne pouvait commenter le mail de Neal Krawetz. "Je ne sais pas ce que c’est qu’un buffer overflow, expliquait notre interlocuteur. Nous sommes des techniciens, mais des technico-commerciaux. On fait les démonstrations de produits." Le débordement de pile est trop technique pour les représentants français de Macromédia. Effectivement, c’est plus une préoccupation de programmeur informatique. Toutefois, les buffer overflow, connus depuis des années, sont une des causes majeures des piratages de sites Web depuis un bon bout de temps. On est loin de la notion informatique totalement obscure... Ce qui semble plus étonnant et en tout cas inquiétant, c’est que Neal Krawetz annonce avoir remué ciel et terre depuis août dernier pour faire prendre conscience du problème à Macromedia. En vain...
Dans un article d’Associated Press, le co-inventeur du World Wide Web, Tim Bernres-Lee expliquait récemment : "Ce que je crains, c’est qu’on en fasse un système compliqué et que dans dix ans, on se rende compte que cette technologie a des limites." Il s’inquiétait en outre de ce que des sociétés tentent de mettre la main sur le Web en imposant des formats spécifiques et incompatibles entre eux. À mauvais entendeur, salut !