Un monde sans Adobe Flash

À notre Adobe Flash pas tant aimé.

Début 2021, Adobe Flash a officiellement cessé d’exister. Certains amateurs de vieux jeux basés sur le navigateur ont été émus mais la plupart des experts en sécurité informatique ont été soulagés puisque le monde était enfin prêt à vivre sans cette technologie certes remarquable mais obsolète de nos jours.

Nous y étions-nous vraiment préparés ? Il s’avère que certaines personnes n’utilisent toujours pas d’autres outils, même si Adobe annonçait la fin de Flash depuis plusieurs années. De plus, certains nécromancien technologique ont commencé à mettre au point certaines techniques qui permettraient de faire renaître cette technologie. Aujourd’hui, plus de 40 jours après sa disparition, nous avons cherché à savoir comment le monde se débrouille (ou pas) sans Adobe Flash.

Train pour Dalian

Nous ne savons toujours pas ce qu’il s’est vraiment passé avec le réseau ferroviaire de Dalian en janvier. Les comptes-rendus relatifs à la sévérité de l’incident diffèrent mais tous sont d’accord sur un point : la fin de Flash est à l’origine de cette panne puisque le contenu reposait sur ce système. Malgré la date officielle de la mort du certificat, 1er janvier, Adobe a ajouté un délai de grâce pour que les utilisateurs aient 11 jours de plus pour faire leurs adieux à Flash. En toute honnêteté, il est incompréhensible de voir que certaines personnes utilisent encore Flash après le 12 janvier. C’était pourtant le cas des systèmes ferroviaires de Dalian.

Flash est-il la cause directe des perturbations du trafic ? Quels systèmes ont vraiment été impliqués ? La controverse persiste mais ce n’est pas vraiment ce qui nous intéresse. Les médias ont mentionné des problèmes de distribution et de tickets. Quant aux responsables, ils ont tout simplement nié le problème. Dans tous les cas, l’équipe d’assistance technique a travaillé d’arrache-pied et a finalement réussi à faire fonctionner Adobe Flash sur les ordinateurs des gares de la ligne, ce qui a rendu les systèmes à nouveau opérationnels. Adobe Flash est désormais à jour et fonctionne ; tout semble être revenu à la normale, du moins pour le moment.

En termes de sécurité des informations, cette réussite n’est pas vraiment louable. Une partie de cette infrastructure critique (bien que les tâches ne soient pas sensibles) utilise désormais une technologie que l’on sait obsolète.

Un autre aspect, différent mais en lien, est que de nombreuses grandes entreprises lancent des mises à jour partielles parce que leurs bonnes pratiques les obligent à d’abord tester les mises à jour sur des machines dans un environnement isolé consacré aux tests. Peut-être que le système de transports ferroviaires de Dalian suit cette pratique. Nous n’en savons rien. Les protocoles de mises à jour ne sont pas vraiment le problème ici. Adobe n’a pas mis à jour Flash le 12 janvier mais a mis fin à ses jours. Ce code assassin a été programmé longtemps à l’avance, y compris avant la dernière mise à jour (le 8 décembre). D’ailleurs, un correctif aurait bien fonctionné dans n’importe quel environnement de test.

Peut-être, avec le recul, qu’un code de fin de vie intégré n’est pas la meilleure solution pour mettre un terme à une technologie si largement utilisée.

Bureau des impôts en Afrique du Sud

Le South African Revenue Service est responsable de la perception des impôts dans tout le pays et de nombreux dossiers sont désormais déposés en ligne. Le 12 janvier, le service des impôts s’est soudainement rendu compte que ces formulaires en ligne reposaient sur Adobe Flash.

Au lieu de repousser la date limite de soumission des formulaires et de modifier le code des formulaires en utilisant une technologie plus actuelle, le service des impôts a préféré lancer un navigateur spécial et compatible avec Adobe Flash. Les contribuables d’Afrique du Sud doivent donc utiliser une technologie obsolète pour soumettre des informations financières sensibles.

Le gouvernement sud-africain n’a pas créé un navigateur à partir de rien. Il s’est servi d’une version rudimentaire de Chromium qui ne donne accès qu’à un seul site. Cette solution de secours n’est pas mortelle mais nous ne savons pas si le service envisage de mettre à jour son navigateur.

Pour le moment le programme n’existe que sur Windows, donc les utilisateurs d’autres systèmes d’exploitation devront chercher une autre façon d’exécuter le contenu Flash, ce qui est dangereux. Nous espérons que cette solution n’est que temporaire et que le service va finalement abandonner Flash.

Alternatives

Il existe d’autres façons d’exécuter Flash. Pire encore, il y a une forte demande et il ne s’agit pas seulement des amateurs de vieux jeux qui utilisent Flash. Certaines entreprises assez importantes utilisent encore cette technologie pour certains services (la plupart d’entre eux sont internes). Recherchez « comment utiliser Flash après 2021 » et vous obtiendrez tout un tas de liens avec des instructions que vous ne devriez pas suivre.

Par exemple, une alternative consiste à installer une version antérieure à celle qui mettait fin à Flash Player. Même si Adobe a supprimé les liens des anciennes versions du programme sur son site, on les trouve sur des sites non officiels. C’est assez inquiétant puisque non seulement l’utilisation de l’ancienne version de n’importe quel programme représente des risques mais en plus les dangers augmentent lorsque l’utilisateur décide de télécharger un logiciel depuis un site non officiel. Qui sait ce qu’une personne sans scrupules a ajouté au pack d’installation…

Certains utilisateurs ont publié des versions et des instructions qui permettent de neutraliser le code de fin de vie intégré et d’autoriser les contenus Flash.

D’autres conseils semblent être un peu plus sensés. Par exemple, plusieurs extensions de navigateurs reposent sur Ruffle, un émulateur Flash Player qui exploite les technologies sandboxing des navigateurs modernes. De plus, selon les créateurs de Ruffle, le programme est écrit en langue Rust et la base de la sécurité mémoire neutralise les problèmes et les vulnérabilités habituels de Flash.

Plutôt intéressant, mais n’oubliez pas que Ruffle est un projet open-source maintenu par des passionnés. Il reste à voir si cet enthousiasme sera suffisant. Ruffle pourrait aussi avoir ses propres vulnérabilités que quelqu’un corrigera en temps voulu.

Des solutions spécialisées en B2B ont aussi fait leur apparition. Par exemple, Harman a signé un accord exclusif avec Adobe pour construire et venir en aide aux navigateurs personnalisés qui utilisent encore Flash pour les entreprises qui ne sont pas prêtes à l’abandonner.

Que faire si vous avez encore besoin de Flash

Si vous ne pouvez pas imaginer votre vie sans cette technologie, nous vous conseillons de suivre les conseils suivants :

  • Réfléchissez-y à nouveau et essayez plutôt de mettre à jour le contenu de votre site.
  • Utilisez un environnement virtuel pour exécuter les anciennes versions et les solutions de secours rudimentaires. Seulement en cas de nécessité absolue.
  • Installez une solution de sécurité qui détecte les tentatives d’exploitation des vulnérabilités, même si vous utilisez une alternative qui semble sans danger.
Conseils