Flash vous filme à votre insu !

L’auteur du blogue Guya.net dévoile une faille-choc qui permet de filmer et écouter les internautes à distance et à leur insu ! Elle utilise certaines fonctions de Flash et des navigateurs Internet pour parvenir à ses fins.

Le procédé (baptisé ClickJacking) est astucieux. Une page HTML est superposée à une autre. Lorsque l’utilisateur clique dans cette fenêtre, l’action est propagée à la page se situant en dessous.

La technique consiste alors, à travers un innocent bouton codé en JavaScript, à cliquer sur les options permettant d’activer les fonctions d’envoi de flux audio/vidéo dans le panneau de configuration web de Flash (qui est caché aux yeux de l’utilisateur, car situé derrière le bloc de données principal).

L’exemple proposé par l’auteur de ce blogue n’est aujourd’hui plus actif. Une vidéo est cependant disponible : elle montre et explique l’exploitation de cette vulnérabilité. Adobe n’est pas totalement responsable de cette faille, liée en grande partie à la façon dont les navigateurs Internet gèrent les blocs superposés et la propagation des évènements. En fait, cette diffusion des évènements est possible vers tout élément situé en fond de page : bloc HTML, applets Java, Silverlight, Flash, etc.

Adobe espère fournir un correctif définitif avant la fin de ce mois. Dans l’intervalle, la compagnie vous conseille de vous connecter à cette page, puis de choisir l’option « Toujours refuser… » dans l’onglet « Paramètres globaux de contrôle de l’accès ». Vos webcams et microphones ne seront alors plus accessibles depuis Flash. L’auteur du blogue Guya.net informe que la compagnie a d’ores et déjà corrigé (à 99,9 %) ce problème, en modifiant sa page web liée à la définition des paramètres de Flash.