Pression médiatique aidant, Macromedia a finalement accepté de se plonger dans le problème de sécurité soulevé par un développeur indépendant. Résultat ? Match nul.
L’information avait fait le tour du cybermonde en trois jours. Un développeur indépendant, Neal Krawetz avait découvert une faille liée au format Flash. Le plug-in permettant de visionner ces animations multimédias avait un défaut de programmation permettant, au mieux, de planter le navigateur de l’utilisateur et, au pire, de faire exécuter un code malicieux à son ordinateur.
Ce type de problème de sécurité répond au nom de Buffer overflow. Cette technique de piratage repose sur un oubli du programmeur : l’application ne sait plus quoi faire lorsqu’elle reçoit une donnée plus longue que prévue. Par exemple, une requête du genre http://www.macible.com/aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa(3500fois). L’ordinateur plante et il est alors souvent possible d’en profiter pour installer un cheval de Troie, exécutant un code malicieux dans la machine. C’est l’une des techniques les plus usitées pour pirater un site Web.
Macromedia, la société qui promeut le format Flash, avait quelque peu traîné les pieds pour passer en revue le problème présenté par Neal Krawetz. Celui-ci avait entamé ses contacts avec l’entreprise le 25 juillet, mais n’avait obtenu de réponse qu’après avoir posté son alerte dans la liste Bugtraq en janvier... Devant le nombre de papiers publiés sur ce sujet (y compris sur SecurityFocus), Macromedia a fait plancher ses ingénieurs en collaboration étroite avec Neal Krawetz. Bilan : Macromedia annonce fièrement qu’il est impossible d’implanter un cheval de Troie ou un virus avec une animation Flash vérolée. Neal Krawetz confirme du bout des lèvres qu’il n’est pas parvenu à "recréer" cette situation. En revanche, les deux parties valident le fait qu’une animation Flash modifiée ferait planter le navigateur et/ou l’ordinateur de l’utilisateur. Macromedia ne considère pas ça comme un problème de sécurité... Seul point positif, Peter Santangeli, Vice President of Engineering Flash and Freehand, s’est fendu d’un mail dans Bugtraq. Il regrette à titre personnel que le mail de Neal Krawetz ne soit pas arrivé plus tôt dans la boîte de la bonne personne (ce qui expliquerait le retard à l’allumage) et annonce la création d’une nouvelle adresse e-mail pour signaler les problèmes de sécurité. Mais ne la donne pas. Trop compliqué ? Patience, vu le rythme des réponses de Macromédia, elle arrivera d’ici 6 ou 7 mois...