Adobe corrige en urgence une faille de Flash trouvée par Hacking Team

flash-logo

Le piratage du spécialiste des outils de surveillance et d’intrusion Hacking Team a fait la une de la presse en début de semaine. Voir à ce propos notre article « Hacking Team, un spécialiste de cyber-armes massivement piraté ».

Parmi les 400 Go de données dérobées à la société, nous ne retrouvons pas que des e-mails plus ou moins compromettants, mais aussi des failles et exploits dédiés à certains logiciels. En épluchant les données volées à Hacking Team, Trend Micro a ainsi découvert deux failles concernant le greffon Flash d’Adobe.

La première vulnérabilité a été déjà été corrigée par Adobe. La seconde permet de lancer une application de l’ordinateur à distance, et ce même si le greffon Flash fonctionne derrière un bac à sable. Toutes les versions de ce composant, y compris celle livrée avec Chrome, sont donc concernées. Une vulnérabilité d’une rare gravité, que Hacking Team considère comme étant « le plus beau bug de Flash de ses quatre dernières années ».

Correction en 24 heures

Adobe a rapidement réagi. Tout d’abord en prenant en compte cette menace (vulnérabilité CVE-2015-5119), puis en la corrigeant le lendemain au travers du bulletin de sécurité APSB15-16.

La mise à jour proposée par Adobe ne se borne pas à supprimer la faille détectée par Hacking Team. Un total de 36 vulnérabilités est ainsi éliminé, faisant de ce correctif l’un des plus importants proposés autour de la plate-forme Flash. La plupart de ces failles sont critiques et pourraient permettre de lancer du code à distance sur la machine d’un internaute, afin d’en prendre le contrôle.

L’installation de la dernière version de Flash est donc vivement recommandée. Vous pourrez vérifier laquelle est installée sur votre machine au travers de cette page web. Sont concernés : Flash Player Desktop 18.0.0.194 et inférieur, Flash Player ESR 13.0.0.296 et inférieur, Flash Player pour Linux 11.2.202.468 et inférieur, AIR 18.0.0.144 et inférieur. Et ce sur toutes les plates-formes : Windows, OS X, Linux, Android et iOS.

De nouvelles moutures de ces composants sont proposées, à savoir : Flash Player Desktop 18.0.0.203, Flash Player ESR 13.0.0.302, Flash Player pour Linux 11.2.202.481 et AIR 18.0.0.180. Les moutures de Flash livrées avec IE10 et IE11 sous Windows 8 et 8.1, ainsi que celle intégrée à Chrome, sont elles aussi corrigées.

Dissimuler VS corriger

Cet épisode se veut le reflet de la guerre menée entre les différents experts en sécurité autour de la découverte de failles. Trois principaux camps s’opposent :

D’un côté les pirates, qui cachent leurs découvertes qu’ils exploitent afin d’extorquer des données aux internautes, ou de créer des botnets.
De l’autre les chercheurs en sécurité qui dévoilent leurs découvertes, parfois contre rémunération, afin de permettre aux éditeurs de corriger les failles de leurs logiciels.
Et entre les deux des sociétés comme Hacking Team, qui se créent un arsenal de failles zero-day, qui sont exploitées au sein d’outils de surveillance ou d’intrusion, revendus à d’autres acteurs, en général des services gouvernementaux de surveillance.

Un nombre croissance d’éditeurs mettent de l’argent sur la table afin de convaincre les chercheurs en sécurité de leur communiquer leurs découvertes. La Zero Day Initiative de HP (TippingPoint) et le Project Zero de Google sont des exemples de tels programmes.