Adobe MAX 2010 : Flash verra sa sécurité renforcée
La sécurité du greffon Flash est un épineux problème pour Adobe. La compagnie a toutefois réalisé d’importantes avancées dans ce secteur… et compte bien aller encore plus loin, en jouant par exemple la carte de la sandbox.
De notre correspondant à Los Angeles – Nous le savons déjà depuis plusieurs semaines, Adobe compte adopter un système de bac à sable (sandbox) au sein d’Adobe Reader, ce qui permettra de protéger le système d’exploitation des attaques prenant ce logiciel comme vecteur de diffusion. En tout logique, nous nous demandons quand la compagnie appliquera cette technique au greffon Flash, qui reste lui aussi une des cibles privilégiées des pirates.
« Voilà qui est bien moins trivial, car le lecteur Flash interagit plus fortement avec le navigateur web », nous répond Brad Arkin, directeur de la sécurité chez Adobe. « Nous avons toutefois déjà réalisé des avancées dans ce domaine. Nous utilisons ainsi les mécanismes de protection proposés par Internet Explorer (depuis la version 7). Concernant Google Chrome, l’intégration est maintenant plus poussée. Avant Flash 10.1, le greffon fonctionnait toujours de la même manière. Maintenant, il adopte un comportement différent en mode de navigation privée. »
Concernant l’intégration dans le bac à sable des navigateurs, « nous travaillons en direct avec les ingénieurs de Google pour l’intégration de Flash dans la sandbox de Chrome. Ce travail avance bien, même si des tests seront encore nécessaires. Nous avons également des plans pour Firefox, mais cela nécessitera des modifications dans le navigateur web. Nous comptons travailler dans ce sens avec les équipes de développement de Firefox. »
Enfin, on peut s’étonner de cette volonté de fournir le greffon Flash directement avec les navigateurs web, tel celui d’Opera ou de Google. Les utilisateurs disposant de plusieurs butineurs se retrouvent ainsi avec de multiples versions de Flash, qu’ils doivent toutes maintenir à jour. Un futur problème en terme de sécurité ? « Au contraire, c’est une chance », explique Brad Arkin. « Aujourd’hui, nous devons gérer soixante combinaisons différentes de navigateurs et systèmes d’exploitation. Toute mise à jour de sécurité globale prend ainsi un temps assez long. En intégrant le greffon avec le navigateur, nous pouvons décider de livrer une mise à jour pour un logiciel précis, alors même que celles dédiées aux autres navigateurs ne sont pas encore prêtes. »
Brad Arkin nous rappelle également que la sécurité se fait en amont. « Dans ce domaine, nous poussons tout d’abord la communauté des développeurs à faire attention à la qualité du code. De nombreuses vidéos d’apprentissage portant sur la sécurité des applications sont ainsi disponibles sur le site Adobe TV. Dans le secteur des outils de sécurité, nous travaillons avec des acteurs tiers, comme Secunia (avec PSI), HP (avec SWFScan ou WebInspect) et IBM (avec AppScan). D’autres projets pourront intéresser les spécialistes de la sécurité, par exemple Blitzableiter. »
