Flash aurait-il été accusé à tort ? Une étude révèle que HTML5 ne serait pas le remède
Aux problèmes de sécurité dans l'industrie de la publicité

Le , par Michael Guilloux

0PARTAGES

6  1 
Il fut un temps où la technologie Flash d’Adobe était incontournable pour la création de médias riches sur le web. Mais ces dernières années, notamment l’année 2015, ont été éprouvantes pour la technologie d’Adobe. Accusé d’être à l’origine de nombreux problèmes de sécurité en ligne, notamment des campagnes de publicités malveillantes (malvertising), l’industrie de la publicité a décidé d’un commun accord de tirer un trait sur Flash.

Dans le même temps, HTML5 est indiqué comme l’avenir pour les annonces. Le nouveau standard du web s'est vanté d’offrir une expérience multimédia plus intégrée avec des temps de chargement plus courts et une faible consommation d’énergie. Par rapport à Flash, il est également annoncé comme étant la solution pour des annonces plus sures qui pourraient empêcher la diffusion de malware. On peut en effet se souvenir qu’en août dernier, Yahoo! a été victime d'une vaste campagne de publicités malveillantes, dans laquelle les attaquants auraient exploité une vulnérabilité dans Flash. Mais il ne s’agit pas d’un cas isolé.

Il semble cependant que l’industrie de la publicité ait accusé Flash à tort, du moins, en ce qui concerne les campagnes de publicités malveillantes. C’est ce qu’indique une étude de GeoEdge, un fournisseur de solutions de sécurité pour les annonces dans l’industrie de la publicité en ligne et mobile. GeoEdge révèle que Flash ne serait pas la cause profonde des campagnes de malvertising et que le passage à HTML5 ne pourra pas protéger les internautes contre cette menace. Le fournisseur de solutions de sécurité pour l’industrie de la publicité souligne en effet que les vulnérabilités exploitées viendraient des plateformes de publicité elles-mêmes ainsi que des normes de publicité.

Basant son étude sur les annonces vidéo, GeoEdge révèle que les attaquants qui diffusent des annonces malveillantes ne reposent pas vraiment sur le fait que l’annonce soit en HTML5 ou Flash, mais sur la vulnérabilité des normes de publicité vidéo en ligne, notamment VAST (Video Ad Serving Template) et VPAID (Video Player-Ad Interface Definition).

VAST et VPAID sont les règles du jeu en ce qui concerne la publicité vidéo en ligne. Ces normes sont d’une grande utilité pour les éditeurs qui souhaitent exécuter une variété d'annonces vidéo tierces. Si les réseaux publicitaires tiers prennent en charge les formats VAST et VPAID, les éditeurs ne devraient pas alors avoir à modifier leur implémentation pour jouer l'annonce.

VAST est le format normalisé de l'IAB (Interactive Advertising Bureau) applicable au suivi des annonces vidéo. Il peut être vu comme script pour la publicité vidéo. Tout ce que VAST fait, c’est de donner des instructions cohérentes à votre lecteur vidéo sur la façon de gérer une annonce. Il indique par exemple à votre lecteur vidéo ce que l'annonce devrait faire, comment le faire, combien de temps l’annonce devrait être affichée, si oui ou non, celle-ci est désactivable, où trouver l'annonce (le serveur de publicité), l’URL de suivi, etc. En ce qui concerne VPAID, il s’agit d’une norme qui permet la communication entre une annonce vidéo et un lecteur vidéo. Celle-ci ajoute à VAST un niveau d’interactivité.

Pour revenir aux campagnes de malvertising avec Flash, GeoEdge en distingue deux scénarios. Comme le montre la figure suivante, le premier consiste pour le créateur d’annonce à insérer un code malveillant directement dans son annonce Flash. C’est dans ce cas de figure qu’il serait recommandé de limiter l’utilisation de Flash.


Attaque de malvertising via une annonce Flash malveillante

Mais, il existe également un autre scénario, qui selon GeoEdge serait le principal facteur des campagnes de malvertising. Un attaquant pourrait injecter du code malveillant dans les paramètres VAST afin de détourner une annonce Flash légitime. Il pourrait par exemple stocker une URL de suivi malveillante dans les paramètres VAST, qui va alors rediriger les internautes vers des pages piégées ou installer des malwares. Dans ce cas, aucune interaction de l’utilisateur ne sera nécessaire pour que sa machine soit infectée. Ce scénario est illustré par la figure suivante.


Attaque de malvertising en détournant une annonce Flash légitime

GeoEdge affirme que HTML5 est certainement plus sûr que Flash, en termes de sécurité, et peut de ce fait limiter les menaces. C’est le cas plus précisément dans le premier scénario où l’attaquant utilise des failles dans la technologie utilisée pour créer l’annonce (Flash ou HTML5). Mais dans le deuxième scénario exploitant les standards VAST/VPAID, le créateur de l’annonce malveillante ne se soucie pas du fait que celle-ci soit en Flash ou HTML5. Et cela reste malheureusement le facteur fondamental de diffusion de publicités malveillantes, d’après GeoEdge. Le fournisseur de solutions de sécurité pour les annonces estime donc que le standard HTML5 ne serait pas le remède aux problèmes de sécurité dans l’industrie de la publicité en ligne.


Attaque de malvertising : les deux scénarios avec HTML5

L’étude s’est basée sur les annonces vidéo, mais la même chose pourrait être valable pour les annonces statiques, et encore, peu importe qu’elles soient en Flash ou HTML5.

Source : Security Aspects of Flash, HTML5, and Video in the Ad Tech Industry

Et vous ?

Qu’en pensez-vous ?

Voir aussi :

Forum Webmarketing
Forum Sécurité

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Voïvode
Membre émérite https://www.developpez.com
Le 26/06/2016 à 10:47
Citation Envoyé par Michael Guilloux Voir le message
Flash aurait-il été accusé à tort ? Une étude révèle que HTML5 ne serait pas le remède aux problèmes de sécurité dans l’industrie de la publicité.
Le remède aux problèmes de sécurité de la publicité, c’est la suppression de la publicité.
3  0 
Avatar de 23JFK
Membre expérimenté https://www.developpez.com
Le 26/06/2016 à 22:57
Citation Envoyé par MichaelREMY Voir le message
html5 a un gros inconvénient : ...

pas facile voire impossible d'interdire l'autoplay (ou le préchargement) d'une video intégrée en html5 alors que Flash avait l'énorme avantage d'être centralisé par un plugins (qu'on interdit ou pas).
C'est clair que ça manque d'interface. Il faut aller bidouiller les variables dans les pages du genre about:config sous firefox pour passer les valeurs media.mp4.enabled et/ou media.mediasource.mp4.enabled à false mais les implications sont globales, pas moyen de choisir au cas par cas la vidéo qui peut être lancée et celles qui doivent être bloquées.
1  0 
Avatar de hotcryx
Membre extrêmement actif https://www.developpez.com
Le 27/06/2016 à 14:24
Le local storage est sous IE11 limité à 5 mb, il me semble

Citation Envoyé par 23JFK Voir le message
C'est clair que ça manque d'interface. Il faut aller bidouiller les variables dans les pages du genre about:config sous firefox pour passer les valeurs media.mp4.enabled et/ou media.mediasource.mp4.enabled à false mais les implications sont globales, pas moyen de choisir au cas par cas la vidéo qui peut être lancée et celles qui doivent être bloquées.
y a pas d'addin qui fait ça???

Citation Envoyé par Voïvode Voir le message
Le remède aux problèmes de sécurité de la publicité, c’est la suppression de la publicité.
et la suppression d'internet pour tout ce qui est connecté.
On veut nous l'imposer (le connecté) => on bloque son accès

Citation Envoyé par Haseo86 Voir le message
Flash est aussi délaissé pour sa lourdeur.
pour moi Flash c'était les jeux
1  0 
Avatar de Nb
Membre averti https://www.developpez.com
Le 27/06/2016 à 19:32
Il s'agit d'un standard dont l'implémentation reste à la discrétion du navigateur, mais qui lui permet d'être implémenté par n’importe quel navigateur sur n'importe quelle plateforme sans dépendre du bon vouloir d'un tiers.
Oui c'est le propre d'un standard ouvert, ca supprime toute une couche de tiers dont on était dépendants auparavant. Mais en l’occurrence ca ne supprime pas le fait que les 3 ou 4 gros éditeurs de navigateurs implémentent ca comme ils veulent. Sachant que par exemple l'un d'eux est le plus gros publicitaire du monde ben ca vend pas du reve non plus
HTML5 offre certes des capacités de plus en plus proches de ce que permettaient les ActiveX, Java, Flash, ... mais techniquement ça n'a rien a voir.
Ca ne change rien sur le long terme. Si c'est rentable son utilisation sera massivement détournée et son implémentation sera oscultée à la loupe pour trouver et utiliser des failles.

Bref ca améliore ce qu'un standard peut améliorer mais ne change en rien le reste.
1  0 
Avatar de Haseo86
Membre éclairé https://www.developpez.com
Le 25/06/2016 à 11:29
Flash est aussi délaissé pour sa lourdeur.

Mais il faut aussi être clair, pour le grand public, flash est associé aux pubs, aux trucs qui clignotent dans tous les sens etc, plus qu'aux failles de sécurité. Et dans ce domaine HTML5 ne résout rien, mais Flash reste le seul pointé du doigt.
3  3 
Avatar de MichaelREMY
Membre confirmé https://www.developpez.com
Le 25/06/2016 à 11:44
html5 a un gros inconvénient : il facilite le profusion des vidéos de publicités en splashscreen ou background ou banners.

donc plus il y a de content media html5 qui passe, plus ça sent l'arnaque et l'abus et les failles.

pas facile voire impossible d'interdire l'autoplay (ou le préchargement) d'une video intégrée en html5 alors que Flash avait l'énorme avantage d'être centralisé par un plugins (qu'on interdit ou pas).
5  5 
Avatar de ABCIWEB
Expert éminent https://www.developpez.com
Le 26/06/2016 à 4:13
Salut,

Merci pour cet article qui explique les principes d'injection de malware sur les pub vidéos. Indirectement, flash sert donc encore à quelque chose...

Après pour répondre au titre de l'annonce, que flash soit accusé plus ou moins à tort, ça ne change pas grand chose à la donne. C'est voué à disparaître pour le web puisqu'on peut faire suffisamment avec html5/javascript sans passer par une technologie propriétaire. Combien de développeurs web se préoccupent encore aujourd'hui de la technologie flash pour des projets futurs ou en cours... ?
0  0 
Avatar de Uther
Expert éminent sénior https://www.developpez.com
Le 27/06/2016 à 7:48
Citation Envoyé par sazearte Voir le message
Plus ont offre de possibilité à une techno plus cette dernniere est dangereuse.

Aujourd'hui html5 peut avoir acces a la localisation, peut stocker des fichiers sur votre ordinateur, peut prendre le controle de votre caméra et bientot on voudrais qu'html5 est acces aux périphériques usb de la machine...
Les fonctionnalités HTML5 dont tu parles nécessitent toutes une validation manuelle de l'utilisateur pour chaque site : donc ce n'est pas le genre de chose dont les publicitaires pourront abuser facilement.

Citation Envoyé par sazearte Voir le message
HTML5 devient que c'est devenue les ActivX, applets Java et Flash.
HTML5 offre certes des capacités de plus en plus proches de ce que permettaient les ActiveX, Java, Flash, ... mais techniquement ça n'a rien a voir.
Il s'agit d'un standard dont l'implémentation reste à la discrétion du navigateur, mais qui lui permet d'être implémenté par n’importe quel navigateur sur n'importe quelle plateforme sans dépendre du bon vouloir d'un tiers.
0  0 
Avatar de RyzenOC
Inactif https://www.developpez.com
Le 25/06/2016 à 9:55
Plus ont offre de possibilité à une techno plus cette dernniere est dangereuse.

Aujourd'hui html5 peut avoir acces a la localisation, peut stocker des fichiers sur votre ordinateur, peut prendre le controle de votre caméra et bientot on voudrais qu'html5 est acces aux périphériques usb de la machine...

HTML5 devient que c'est devenue les ActivX, applets Java et Flash.

Il y'a une différence quand même, avant fallait mettre a jour le plugin pour combler les failles, aujourd'hui faut mettre à jour le navigateur.

Soyons objectif, comparons les failles (leurs nombres+leurs dangerosité) que google chrome colmate à chaque version, et les failles que colmate flash.
Le phénomène prendra de l'ampleur à plus flash sera délaissé.
4  5 
Avatar de
https://www.developpez.com
Le 25/06/2016 à 13:04
La seule méthode qui n'a pas été utilisé est de transmettre un profil de "navigation" aux serveurs pour faire le filtrage de se qui sera téléchargé à la source.

Une fois arrivé au navigateur web c'est une zone de texte accueillant une U.R.L. et une zone affichant l'interprétation du code H.T.M.L. reçu avec tous les autres "add-on".

Se qui veux aussi dire que si les sources sont pas "saines", alors faut pas s'attendre à des niveaux de sécurités corrects.
0  2 
Google avertit que des dizaines de millions de téléphones Android sont préchargés avec des logiciels malveillants dangereux
L'immobilisation du 737 MAX est un tel désastre que les compagnies aériennes louent des 737-200 de 30 ans d'âge
Voitures autonomes : « Tous ceux qui comptent sur le lidar sont condamnés »
Mise à jour de la page Cours et Tutoriels pour apprendre la programmation avec Delphi, dix nouveaux tutoriels sur FireMonkey (FMX)
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web