Discussion :

[Michael Guilloux]

Flash aurait-il été accusé à tort ? Une étude révèle que HTML5 ne serait pas le remède
aux problèmes de sécurité dans l’industrie de la publicité

Il fut un temps où la technologie Flash d’Adobe était incontournable pour la création de médias riches sur le web. Mais ces dernières années, notamment l’année 2015, ont été éprouvantes pour la technologie d’Adobe. Accusé d’être à l’origine de nombreux problèmes de sécurité en ligne, notamment des campagnes de publicités malveillantes (malvertising), l’industrie de la publicité a décidé d’un commun accord de tirer un trait sur Flash.

Dans le même temps, HTML5 est indiqué comme l’avenir pour les annonces. Le nouveau standard du web s'est vanté d’offrir une expérience multimédia plus intégrée avec des temps de chargement plus courts et une faible consommation d’énergie. Par rapport à Flash, il est également annoncé comme étant la solution pour des annonces plus sures qui pourraient empêcher la diffusion de malware. On peut en effet se souvenir qu’en août dernier, Yahoo! a été victime d'une vaste campagne de publicités malveillantes, dans laquelle les attaquants auraient exploité une vulnérabilité dans Flash. Mais il ne s’agit pas d’un cas isolé.

Il semble cependant que l’industrie de la publicité ait accusé Flash à tort, du moins, en ce qui concerne les campagnes de publicités malveillantes. C’est ce qu’indique une étude de GeoEdge, un fournisseur de solutions de sécurité pour les annonces dans l’industrie de la publicité en ligne et mobile. GeoEdge révèle que Flash ne serait pas la cause profonde des campagnes de malvertising et que le passage à HTML5 ne pourra pas protéger les internautes contre cette menace. Le fournisseur de solutions de sécurité pour l’industrie de la publicité souligne en effet que les vulnérabilités exploitées viendraient des plateformes de publicité elles-mêmes ainsi que des normes de publicité.

Basant son étude sur les annonces vidéo, GeoEdge révèle que les attaquants qui diffusent des annonces malveillantes ne reposent pas vraiment sur le fait que l’annonce soit en HTML5 ou Flash, mais sur la vulnérabilité des normes de publicité vidéo en ligne, notamment VAST (Video Ad Serving Template) et VPAID (Video Player-Ad Interface Definition).

VAST et VPAID sont les règles du jeu en ce qui concerne la publicité vidéo en ligne. Ces normes sont d’une grande utilité pour les éditeurs qui souhaitent exécuter une variété d'annonces vidéo tierces. Si les réseaux publicitaires tiers prennent en charge les formats VAST et VPAID, les éditeurs ne devraient pas alors avoir à modifier leur implémentation pour jouer l'annonce.

VAST est le format normalisé de l'IAB (Interactive Advertising Bureau) applicable au suivi des annonces vidéo. Il peut être vu comme script pour la publicité vidéo. Tout ce que VAST fait, c’est de donner des instructions cohérentes à votre lecteur vidéo sur la façon de gérer une annonce. Il indique par exemple à votre lecteur vidéo ce que l'annonce devrait faire, comment le faire, combien de temps l’annonce devrait être affichée, si oui ou non, celle-ci est désactivable, où trouver l'annonce (le serveur de publicité), l’URL de suivi, etc. En ce qui concerne VPAID, il s’agit d’une norme qui permet la communication entre une annonce vidéo et un lecteur vidéo. Celle-ci ajoute à VAST un niveau d’interactivité.

Pour revenir aux campagnes de malvertising avec Flash, GeoEdge en distingue deux scénarios. Comme le montre la figure suivante, le premier consiste pour le créateur d’annonce à insérer un code malveillant directement dans son annonce Flash. C’est dans ce cas de figure qu’il serait recommandé de limiter l’utilisation de Flash.

Attaque de malvertising via une annonce Flash malveillante

Mais, il existe également un autre scénario, qui selon GeoEdge serait le principal facteur des campagnes de malvertising. Un attaquant pourrait injecter du code malveillant dans les paramètres VAST afin de détourner une annonce Flash légitime. Il pourrait par exemple stocker une URL de suivi malveillante dans les paramètres VAST, qui va alors rediriger les internautes vers des pages piégées ou installer des malwares. Dans ce cas, aucune interaction de l’utilisateur ne sera nécessaire pour que sa machine soit infectée. Ce scénario est illustré par la figure suivante.

Attaque de malvertising en détournant une annonce Flash légitime

GeoEdge affirme que HTML5 est certainement plus sûr que Flash, en termes de sécurité, et peut de ce fait limiter les menaces. C’est le cas plus précisément dans le premier scénario où l’attaquant utilise des failles dans la technologie utilisée pour créer l’annonce (Flash ou HTML5). Mais dans le deuxième scénario exploitant les standards VAST/VPAID, le créateur de l’annonce malveillante ne se soucie pas du fait que celle-ci soit en Flash ou HTML5. Et cela reste malheureusement le facteur fondamental de diffusion de publicités malveillantes, d’après GeoEdge. Le fournisseur de solutions de sécurité pour les annonces estime donc que le standard HTML5 ne serait pas le remède aux problèmes de sécurité dans l’industrie de la publicité en ligne.

Attaque de malvertising : les deux scénarios avec HTML5

L’étude s’est basée sur les annonces vidéo, mais la même chose pourrait être valable pour les annonces statiques, et encore, peu importe qu’elles soient en Flash ou HTML5.

Source : Security Aspects of Flash, HTML5, and Video in the Ad Tech Industry

Et vous ?

Qu’en pensez-vous ?

Voir aussi :

Forum Webmarketing
Forum Sécurité

[RyzenOC]

Plus ont offre de possibilité à une techno plus cette dernniere est dangereuse.

Aujourd'hui html5 peut avoir acces a la localisation, peut stocker des fichiers sur votre ordinateur, peut prendre le controle de votre caméra et bientot on voudrais qu'html5 est acces aux périphériques usb de la machine...

HTML5 devient que c'est devenue les ActivX, applets Java et Flash.

Il y'a une différence quand même, avant fallait mettre a jour le plugin pour combler les failles, aujourd'hui faut mettre à jour le navigateur.


Soyons objectif, comparons les failles (leurs nombres+leurs dangerosité) que google chrome colmate à chaque version, et les failles que colmate flash.
Le phénomène prendra de l'ampleur à plus flash sera délaissé.

[Haseo86]

Flash est aussi délaissé pour sa lourdeur.

Mais il faut aussi être clair, pour le grand public, flash est associé aux pubs, aux trucs qui clignotent dans tous les sens etc, plus qu'aux failles de sécurité. Et dans ce domaine HTML5 ne résout rien, mais Flash reste le seul pointé du doigt.

[MichaelREMY]

html5 a un gros inconvénient : il facilite le profusion des vidéos de publicités en splashscreen ou background ou banners.

donc plus il y a de content media html5 qui passe, plus ça sent l'arnaque et l'abus et les failles.

pas facile voire impossible d'interdire l'autoplay (ou le préchargement) d'une video intégrée en html5 alors que Flash avait l'énorme avantage d'être centralisé par un plugins (qu'on interdit ou pas).

[MikeRowSoft]

La seule méthode qui n'a pas été utilisé est de transmettre un profil de "navigation" aux serveurs pour faire le filtrage de se qui sera téléchargé à la source.

Une fois arrivé au navigateur web c'est une zone de texte accueillant une U.R.L. et une zone affichant l'interprétation du code H.T.M.L. reçu avec tous les autres "add-on".

Se qui veux aussi dire que si les sources sont pas "saines", alors faut pas s'attendre à des niveaux de sécurités corrects.

[ABCIWEB]

Salut,

Merci pour cet article qui explique les principes d'injection de malware sur les pub vidéos. Indirectement, flash sert donc encore à quelque chose...

Après pour répondre au titre de l'annonce, que flash soit accusé plus ou moins à tort, ça ne change pas grand chose à la donne. C'est voué à disparaître pour le web puisqu'on peut faire suffisamment avec html5/javascript sans passer par une technologie propriétaire. Combien de développeurs web se préoccupent encore aujourd'hui de la technologie flash pour des projets futurs ou en cours... ?

[Voyvode]

Flash aurait-il été accusé à tort ? Une étude révèle que HTML5 ne serait pas le remède aux problèmes de sécurité dans l’industrie de la publicité.

Le remède aux problèmes de sécurité de la publicité, c’est la suppression de la publicité.

[MikeRowSoft]

... c’est la suppression de la publicité.

Je donne la même adresse courriel a des commerces et a des proches (amis, parents et autres). Je reçois au moins trois courriels publicitaires par jour. C'est pas pour autant que je me précipiterais en magasins, ni même que changerais mes habitudes.

Accès à l'alimentaire et bricolage de première nécessité ou pour résoudre des urgences à la distance la plus courte, bricolage et outillage de confort un peu plus loin.

P.S.: l'étude de cas confirme ta conclusion. Même ci se sont les sapeurs-pompiers, agents de polices et autres métiers de la fonction public qui travaillent avec des roulements pour arriver à 24h/24h et 7j/7j. Se n'est pas toujours le cas des plombiers par exemple. Les médecins de gardes sont plutôt simples a trouver pour peu d'avoir accès à l’information et aux pharmacies de gardes, ainsi qu'aux services d'infirmiers à domicile.

[23JFK]

html5 a un gros inconvénient : ...

pas facile voire impossible d'interdire l'autoplay (ou le préchargement) d'une video intégrée en html5 alors que Flash avait l'énorme avantage d'être centralisé par un plugins (qu'on interdit ou pas).

C'est clair que ça manque d'interface. Il faut aller bidouiller les variables dans les pages du genre about:config sous firefox pour passer les valeurs media.mp4.enabled et/ou media.mediasource.mp4.enabled à false mais les implications sont globales, pas moyen de choisir au cas par cas la vidéo qui peut être lancée et celles qui doivent être bloquées.

[Uther]

Plus ont offre de possibilité à une techno plus cette dernniere est dangereuse.

Aujourd'hui html5 peut avoir acces a la localisation, peut stocker des fichiers sur votre ordinateur, peut prendre le controle de votre caméra et bientot on voudrais qu'html5 est acces aux périphériques usb de la machine...

Les fonctionnalités HTML5 dont tu parles nécessitent toutes une validation manuelle de l'utilisateur pour chaque site : donc ce n'est pas le genre de chose dont les publicitaires pourront abuser facilement.

HTML5 devient que c'est devenue les ActivX, applets Java et Flash.

HTML5 offre certes des capacités de plus en plus proches de ce que permettaient les ActiveX, Java, Flash, ... mais techniquement ça n'a rien a voir.
Il s'agit d'un standard dont l'implémentation reste à la discrétion du navigateur, mais qui lui permet d'être implémenté par n’importe quel navigateur sur n'importe quelle plateforme sans dépendre du bon vouloir d'un tiers.

[RyzenOC]

Les fonctionnalités HTML5 dont tu parles nécessitent toutes une validation manuelle de l'utilisateur pour chaque site : donc ce n'est pas le genre de chose dont les publicitaires pourront abuser facilement.

Les failles dans les navigateurs sa existe...
Il y'avait une faille dans IE10, qui en utilisant localstorage (une fonctionnalité de l'html5) on pouvait remplir le disque dur de l'utilisateur par exemple.
Il n'y a d’ailleurs pas que le navigateur dont il faut s’inquiéter, mais aussi les extensions qu'on à installé dessus qui peuvent apporter des failles.

HTML5 offre certes des capacités de plus en plus proches de ce que permettaient les ActiveX, Java, Flash, ... mais techniquement ça n'a rien a voir.

Techniquement sa n'a rien à voir, mais sa suit le même chemin d'évolution, on lui donne de plus en plus de fonctionnalités potentiellement dangereuse.

Une techno permissive et ultra connecté sa ne peut rien sortir de bon niveau sécurité.

[hotcryx]

Le local storage est sous IE11 limité à 5 mb, il me semble

C'est clair que ça manque d'interface. Il faut aller bidouiller les variables dans les pages du genre about:config sous firefox pour passer les valeurs media.mp4.enabled et/ou media.mediasource.mp4.enabled à false mais les implications sont globales, pas moyen de choisir au cas par cas la vidéo qui peut être lancée et celles qui doivent être bloquées.

y a pas d'addin qui fait ça???

Le remède aux problèmes de sécurité de la publicité, c’est la suppression de la publicité.

et la suppression d'internet pour tout ce qui est connecté.
On veut nous l'imposer (le connecté) => on bloque son accès

Flash est aussi délaissé pour sa lourdeur.

pour moi Flash c'était les jeux

[Nb]

Il s'agit d'un standard dont l'implémentation reste à la discrétion du navigateur, mais qui lui permet d'être implémenté par n’importe quel navigateur sur n'importe quelle plateforme sans dépendre du bon vouloir d'un tiers.

Oui c'est le propre d'un standard ouvert, ca supprime toute une couche de tiers dont on était dépendants auparavant. Mais en l’occurrence ca ne supprime pas le fait que les 3 ou 4 gros éditeurs de navigateurs implémentent ca comme ils veulent. Sachant que par exemple l'un d'eux est le plus gros publicitaire du monde ben ca vend pas du reve non plus

HTML5 offre certes des capacités de plus en plus proches de ce que permettaient les ActiveX, Java, Flash, ... mais techniquement ça n'a rien a voir.

Ca ne change rien sur le long terme. Si c'est rentable son utilisation sera massivement détournée et son implémentation sera oscultée à la loupe pour trouver et utiliser des failles.

Bref ca améliore ce qu'un standard peut améliorer mais ne change en rien le reste.