La société qui promeut le format Flash traîne les pieds et minimise l’alerte de sécurité au sujet de son plug-in. Une démarche d’un autre temps...
Macromedia semble se réveiller. Mais doucement, hein... Il n’y a pas de presse. Pour l’instant, le promoteur du format Flash, le présentant comme un outil magique permettant de multimédiatiser le Web, explique qu’il va falloir du temps pour vérifier les dires de Neal Krawetz, l’auteur d’une alerte concernant la sécurité de son produit. Et avec un peu de chance, dans un mois, plus personne ne parlera de cette affaire... C’est en tout cas l’étonnant calcul que semble faire Macromedia, au détriment des utilisateurs.
Rappel : mardi dernier, Neal Krawetz poste dans Bugtraq (1) un e-mail exposant la présence d’un buffer overflow exploitable dans le plug-in Flash des navigateurs. Bilan : un vilain pirate pourrait prendre la main (de manière totalement invisible pour l’utilisateur) sur les ordinateurs des visiteurs d’un site où serait stockée une animation Flash "vérolée".
La grande muette
Neal Krawetz explique dans son e-mail qu’il a pris contact pour la première fois avec Macromedia le 25 juillet dernier. Entre temps, Macromedia a publié une nouvelle version de son plug-in qui est toujours vulnérable. Il a de nouveau fourni toutes les explications nécessaires ainsi qu’une animation "vérolée" à Macromedia pour que des tests puissent être effectués. Sans réponse efficace de Macromedia, Neal Krawetz a posté son alerte de sécurité dans Bugtraq le 2 janvier. Selon Zdnet Grande-Bretagne, un porte-parole de Macromedia explique que "le problème semble sérieux, mais il y a déjà eu des choses de ce genre annoncées par le passé qui ne constituaient finalement pas des problèmes de sécurité. Nous devons approfondir avant de commenter".
Depuis le 25 juillet, Macromedia n’a pas eu le temps de vérifier les informations fournies par ce hacker. Dommage... Les utilisateurs attendront pour savoir si oui ou non il y a un danger à laisser son navigateur visionner une animation Flash. Le service de presse de Macromedia aux ...tats-Unis ne répond pas non plus aux mails et aux messages téléphoniques de Transfert. Laisser traîner semble être une politique maison... Cette réponse à une alerte dans Bugtraq renvoie à des pratiques d’un autre âge, lorsque personne n’avait connaissance des bugs, à part l’éditeur du logiciel et peut-être quelques clients privilégiés. Elle est d’autant plus condamnable que, selon tous les experts, il faut au plus une journée de travail pour vérifier un problème de ce type dans un programme. Encore un effort, m’sieur Macromedia, c’est pour le bien de vos utilisateurs !
(1)Bugtraq est la liste de discussion où sont annoncés les bugs et autres problèmes de sécurité des logiciels et matériels informatiques (lire Transfert magazine, en kiosque en février).