Flash aurait-il été accusé à tort ? Une étude révèle que HTML5 ne serait pas le remède
Aux problèmes de sécurité dans l'industrie de la publicité

Le , par Michael Guilloux, Chroniqueur Actualités
Il fut un temps où la technologie Flash d’Adobe était incontournable pour la création de médias riches sur le web. Mais ces dernières années, notamment l’année 2015, ont été éprouvantes pour la technologie d’Adobe. Accusé d’être à l’origine de nombreux problèmes de sécurité en ligne, notamment des campagnes de publicités malveillantes (malvertising), l’industrie de la publicité a décidé d’un commun accord de tirer un trait sur Flash.

Dans le même temps, HTML5 est indiqué comme l’avenir pour les annonces. Le nouveau standard du web s'est vanté d’offrir une expérience multimédia plus intégrée avec des temps de chargement plus courts et une faible consommation d’énergie. Par rapport à Flash, il est également annoncé comme étant la solution pour des annonces plus sures qui pourraient empêcher la diffusion de malware. On peut en effet se souvenir qu’en août dernier, Yahoo! a été victime d'une vaste campagne de publicités malveillantes, dans laquelle les attaquants auraient exploité une vulnérabilité dans Flash. Mais il ne s’agit pas d’un cas isolé.

Il semble cependant que l’industrie de la publicité ait accusé Flash à tort, du moins, en ce qui concerne les campagnes de publicités malveillantes. C’est ce qu’indique une étude de GeoEdge, un fournisseur de solutions de sécurité pour les annonces dans l’industrie de la publicité en ligne et mobile. GeoEdge révèle que Flash ne serait pas la cause profonde des campagnes de malvertising et que le passage à HTML5 ne pourra pas protéger les internautes contre cette menace. Le fournisseur de solutions de sécurité pour l’industrie de la publicité souligne en effet que les vulnérabilités exploitées viendraient des plateformes de publicité elles-mêmes ainsi que des normes de publicité.

Basant son étude sur les annonces vidéo, GeoEdge révèle que les attaquants qui diffusent des annonces malveillantes ne reposent pas vraiment sur le fait que l’annonce soit en HTML5 ou Flash, mais sur la vulnérabilité des normes de publicité vidéo en ligne, notamment VAST (Video Ad Serving Template) et VPAID (Video Player-Ad Interface Definition).

VAST et VPAID sont les règles du jeu en ce qui concerne la publicité vidéo en ligne. Ces normes sont d’une grande utilité pour les éditeurs qui souhaitent exécuter une variété d'annonces vidéo tierces. Si les réseaux publicitaires tiers prennent en charge les formats VAST et VPAID, les éditeurs ne devraient pas alors avoir à modifier leur implémentation pour jouer l'annonce.

VAST est le format normalisé de l'IAB (Interactive Advertising Bureau) applicable au suivi des annonces vidéo. Il peut être vu comme script pour la publicité vidéo. Tout ce que VAST fait, c’est de donner des instructions cohérentes à votre lecteur vidéo sur la façon de gérer une annonce. Il indique par exemple à votre lecteur vidéo ce que l'annonce devrait faire, comment le faire, combien de temps l’annonce devrait être affichée, si oui ou non, celle-ci est désactivable, où trouver l'annonce (le serveur de publicité), l’URL de suivi, etc. En ce qui concerne VPAID, il s’agit d’une norme qui permet la communication entre une annonce vidéo et un lecteur vidéo. Celle-ci ajoute à VAST un niveau d’interactivité.

Pour revenir aux campagnes de malvertising avec Flash, GeoEdge en distingue deux scénarios. Comme le montre la figure suivante, le premier consiste pour le créateur d’annonce à insérer un code malveillant directement dans son annonce Flash. C’est dans ce cas de figure qu’il serait recommandé de limiter l’utilisation de Flash.


Attaque de malvertising via une annonce Flash malveillante

Mais, il existe également un autre scénario, qui selon GeoEdge serait le principal facteur des campagnes de malvertising. Un attaquant pourrait injecter du code malveillant dans les paramètres VAST afin de détourner une annonce Flash légitime. Il pourrait par exemple stocker une URL de suivi malveillante dans les paramètres VAST, qui va alors rediriger les internautes vers des pages piégées ou installer des malwares. Dans ce cas, aucune interaction de l’utilisateur ne sera nécessaire pour que sa machine soit infectée. Ce scénario est illustré par la figure suivante.


Attaque de malvertising en détournant une annonce Flash légitime

GeoEdge affirme que HTML5 est certainement plus sûr que Flash, en termes de sécurité, et peut de ce fait limiter les menaces. C’est le cas plus précisément dans le premier scénario où l’attaquant utilise des failles dans la technologie utilisée pour créer l’annonce (Flash ou HTML5). Mais dans le deuxième scénario exploitant les standards VAST/VPAID, le créateur de l’annonce malveillante ne se soucie pas du fait que celle-ci soit en Flash ou HTML5. Et cela reste malheureusement le facteur fondamental de diffusion de publicités malveillantes, d’après GeoEdge. Le fournisseur de solutions de sécurité pour les annonces estime donc que le standard HTML5 ne serait pas le remède aux problèmes de sécurité dans l’industrie de la publicité en ligne.


Attaque de malvertising : les deux scénarios avec HTML5

L’étude s’est basée sur les annonces vidéo, mais la même chose pourrait être valable pour les annonces statiques, et encore, peu importe qu’elles soient en Flash ou HTML5.

Source : Security Aspects of Flash, HTML5, and Video in the Ad Tech Industry

Et vous ?

Qu’en pensez-vous ?

Voir aussi :

Forum Webmarketing
Forum Sécurité


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de RyzenOC RyzenOC - Membre expert https://www.developpez.com
le 25/06/2016 à 9:55
Plus ont offre de possibilité à une techno plus cette dernniere est dangereuse.

Aujourd'hui html5 peut avoir acces a la localisation, peut stocker des fichiers sur votre ordinateur, peut prendre le controle de votre caméra et bientot on voudrais qu'html5 est acces aux périphériques usb de la machine...

HTML5 devient que c'est devenue les ActivX, applets Java et Flash.

Il y'a une différence quand même, avant fallait mettre a jour le plugin pour combler les failles, aujourd'hui faut mettre à jour le navigateur.

Soyons objectif, comparons les failles (leurs nombres+leurs dangerosité) que google chrome colmate à chaque version, et les failles que colmate flash.
Le phénomène prendra de l'ampleur à plus flash sera délaissé.
Avatar de Haseo86 Haseo86 - Membre éclairé https://www.developpez.com
le 25/06/2016 à 11:29
Flash est aussi délaissé pour sa lourdeur.

Mais il faut aussi être clair, pour le grand public, flash est associé aux pubs, aux trucs qui clignotent dans tous les sens etc, plus qu'aux failles de sécurité. Et dans ce domaine HTML5 ne résout rien, mais Flash reste le seul pointé du doigt.
Avatar de MichaelREMY MichaelREMY - Membre confirmé https://www.developpez.com
le 25/06/2016 à 11:44
html5 a un gros inconvénient : il facilite le profusion des vidéos de publicités en splashscreen ou background ou banners.

donc plus il y a de content media html5 qui passe, plus ça sent l'arnaque et l'abus et les failles.

pas facile voire impossible d'interdire l'autoplay (ou le préchargement) d'une video intégrée en html5 alors que Flash avait l'énorme avantage d'être centralisé par un plugins (qu'on interdit ou pas).
Avatar de MikeRowSoft MikeRowSoft - Provisoirement toléré https://www.developpez.com
le 25/06/2016 à 13:04
La seule méthode qui n'a pas été utilisé est de transmettre un profil de "navigation" aux serveurs pour faire le filtrage de se qui sera téléchargé à la source.

Une fois arrivé au navigateur web c'est une zone de texte accueillant une U.R.L. et une zone affichant l'interprétation du code H.T.M.L. reçu avec tous les autres "add-on".

Se qui veux aussi dire que si les sources sont pas "saines", alors faut pas s'attendre à des niveaux de sécurités corrects.
Avatar de ABCIWEB ABCIWEB - Expert éminent https://www.developpez.com
le 26/06/2016 à 4:13
Salut,

Merci pour cet article qui explique les principes d'injection de malware sur les pub vidéos. Indirectement, flash sert donc encore à quelque chose...

Après pour répondre au titre de l'annonce, que flash soit accusé plus ou moins à tort, ça ne change pas grand chose à la donne. C'est voué à disparaître pour le web puisqu'on peut faire suffisamment avec html5/javascript sans passer par une technologie propriétaire. Combien de développeurs web se préoccupent encore aujourd'hui de la technologie flash pour des projets futurs ou en cours... ?
Avatar de Voïvode Voïvode - Membre émérite https://www.developpez.com
le 26/06/2016 à 10:47
Citation Envoyé par Michael Guilloux  Voir le message
Flash aurait-il été accusé à tort ? Une étude révèle que HTML5 ne serait pas le remède aux problèmes de sécurité dans l’industrie de la publicité.

Le remède aux problèmes de sécurité de la publicité, c’est la suppression de la publicité.
Avatar de MikeRowSoft MikeRowSoft - Provisoirement toléré https://www.developpez.com
le 26/06/2016 à 11:11
Citation Envoyé par Voïvode  Voir le message
... c’est la suppression de la publicité.

Je donne la même adresse courriel a des commerces et a des proches (amis, parents et autres). Je reçois au moins trois courriels publicitaires par jour. C'est pas pour autant que je me précipiterais en magasins, ni même que changerais mes habitudes.

Accès à l'alimentaire et bricolage de première nécessité ou pour résoudre des urgences à la distance la plus courte, bricolage et outillage de confort un peu plus loin.

P.S.: l'étude de cas confirme ta conclusion. Même ci se sont les sapeurs-pompiers, agents de polices et autres métiers de la fonction public qui travaillent avec des roulements pour arriver à 24h/24h et 7j/7j. Se n'est pas toujours le cas des plombiers par exemple. Les médecins de gardes sont plutôt simples a trouver pour peu d'avoir accès à l’information et aux pharmacies de gardes, ainsi qu'aux services d'infirmiers à domicile.
Avatar de 23JFK 23JFK - Membre éclairé https://www.developpez.com
le 26/06/2016 à 22:57
Citation Envoyé par MichaelREMY  Voir le message
html5 a un gros inconvénient : ...

pas facile voire impossible d'interdire l'autoplay (ou le préchargement) d'une video intégrée en html5 alors que Flash avait l'énorme avantage d'être centralisé par un plugins (qu'on interdit ou pas).

C'est clair que ça manque d'interface. Il faut aller bidouiller les variables dans les pages du genre about:config sous firefox pour passer les valeurs media.mp4.enabled et/ou media.mediasource.mp4.enabled à false mais les implications sont globales, pas moyen de choisir au cas par cas la vidéo qui peut être lancée et celles qui doivent être bloquées.
Avatar de Uther Uther - Expert éminent https://www.developpez.com
le 27/06/2016 à 7:48
Citation Envoyé par sazearte  Voir le message
Plus ont offre de possibilité à une techno plus cette dernniere est dangereuse.

Aujourd'hui html5 peut avoir acces a la localisation, peut stocker des fichiers sur votre ordinateur, peut prendre le controle de votre caméra et bientot on voudrais qu'html5 est acces aux périphériques usb de la machine...

Les fonctionnalités HTML5 dont tu parles nécessitent toutes une validation manuelle de l'utilisateur pour chaque site : donc ce n'est pas le genre de chose dont les publicitaires pourront abuser facilement.

Citation Envoyé par sazearte  Voir le message
HTML5 devient que c'est devenue les ActivX, applets Java et Flash.

HTML5 offre certes des capacités de plus en plus proches de ce que permettaient les ActiveX, Java, Flash, ... mais techniquement ça n'a rien a voir.
Il s'agit d'un standard dont l'implémentation reste à la discrétion du navigateur, mais qui lui permet d'être implémenté par n’importe quel navigateur sur n'importe quelle plateforme sans dépendre du bon vouloir d'un tiers.
Avatar de RyzenOC RyzenOC - Membre expert https://www.developpez.com
le 27/06/2016 à 9:42
Les fonctionnalités HTML5 dont tu parles nécessitent toutes une validation manuelle de l'utilisateur pour chaque site : donc ce n'est pas le genre de chose dont les publicitaires pourront abuser facilement.

Les failles dans les navigateurs sa existe...
Il y'avait une faille dans IE10, qui en utilisant localstorage (une fonctionnalité de l'html5) on pouvait remplir le disque dur de l'utilisateur par exemple.
Il n'y a d’ailleurs pas que le navigateur dont il faut s’inquiéter, mais aussi les extensions qu'on à installé dessus qui peuvent apporter des failles.

HTML5 offre certes des capacités de plus en plus proches de ce que permettaient les ActiveX, Java, Flash, ... mais techniquement ça n'a rien a voir.

Techniquement sa n'a rien à voir, mais sa suit le même chemin d'évolution, on lui donne de plus en plus de fonctionnalités potentiellement dangereuse.

Une techno permissive et ultra connecté sa ne peut rien sortir de bon niveau sécurité.
Offres d'emploi IT
Ingénieur IHM (H/F)
Atos - Provence Alpes Côte d'Azur - Sophia Antipolis
Chef de projet GED –H/F
Talents connection - Suisse - Vaud
Développeur front-end (H/F)
IT ROOM - Nord Pas-de-Calais - Hem (59510)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil