Secu
2021 : EOL pour Adobe Flash… Les conséquences pour les DSI…
Par Laurent Delattre, publié le 04 janvier 2021
Le 31 décembre 2020 marquait la fin de vie officielle d’une technologie majeure du Web dans les années 2000 : Adobe Flash. Ce que les DSI doivent retenir…
Flash, cette technologie créée dans les années 90 par Macromedia pour rendre le Web plus interactif et plus animé (c’était bien avant HTML5), fut acquise par Adobe en 1996. La technologie a longtemps été utilisée pour les bannières publicitaires mais aussi par les créatifs des entreprises pour rendre les Intranets plus conviviaux et contourner les limitations de HTML à l’époque. Au milieu des années 2000, 95% des sites Web en vogue contenaient des éléments Flash.
De par ses capacités d’interaction avec le navigateur et le système d’exploitation, la technologie a longtemps servi de porte d’entrée pour attaquer les machines et fut dans les années 2000 une véritable cyber-épine dans le pied de bien des DSI et RSSI. Et combien d’utilisateurs se sont fait piéger en téléchargeant des « soi-disant » mises à jour de Flash totalement fictives mais aussi totalement vérolées ? À en juger par le nombre de malwares en circulation, probablement des millions !
La montée des technologies mobiles et plus encore la généralisation de HTML5 et AJAX ont peu à peu contribué à rendre Flash non seulement caduque mais également anachronique. En 2017, Adobe officialisait l’abandon de sa technologie d’animation Web et annonçait une fin de vie (EOL – End of Life) au 31 décembre 2020.
Désinstaller Flash
Pour Adobe, il est désormais urgent pour toutes les entreprises et tous les utilisateurs de se débarrasser de son tristement célèbre « Flash Player ». Ces dernières années il était aussi bien disponible en technologie séparée qu’en technologie intégrée au navigateur (Chrome, Edge…). Souvent désactivé par défaut au sein des navigateurs, il va totalement disparaître de ces derniers au fil des nouvelles versions et mises à jour.
Mais pour toutes les machines disposant du player officiel sur Windows comme sur Mac, il va falloir procéder à une désinstallation. La fin de vie signifiant la fin des patchs de sécurité pour l’une des technologies les plus exploitées par les hackers, il est essentiel d’agir.
Adobe propose une méthode officielle pour éradiquer Flash définitivement des machines selon la plateforme :
* Pour Windows 10, il n’y a en théorie rien à faire. Depuis la fin octobre, Microsoft diffuse via Windows Update un patch optionnel KB4577586 qui désinstalle automatiquement Flash. Pour les entreprises qui n’appliquent pas automatiquement les patchs WSUS/Windows Update ou continuent d’utiliser des versions antérieures à Windows 10, il faut télécharger un « Uninstaller for Flash Player » en suivant les instructions de sa page de support dédiée.
* Pour Mac, il faut lancer Adobe Flash Player Install Manager dans « Utilities » (Utilitaires) et cliquer sur « Uninstall ». Il existe aussi un « uninstaller ». Les instructions sont détaillées sur une page dédiée.
Un Kill Switch… le 12/01/2021!
Les administrateurs de parc informatique doivent également garder à l’esprit la date du mardi 12 janvier 2021. Le player contient en effet un « Kill Switch » : dès cette date, le player cessera automatiquement de fonctionner et de jouer les animations intégrées aux pages Web.
Si votre entreprise utilise encore des pages Web basées sur des composants vidéo ou animations en Flash, elles cesseront de fonctionner correctement !
Que faire si on a encore besoin de Flash ?
Si des pages critiques de votre Intranet ou de vos Web Apps métier exploitent des animations Flash, il est aujourd’hui un peu tard pour agir. Ces pages auraient dû être réécrites lors des trois dernières années.
À toutes fins utiles, signalons qu’il existe un projet communautaire et open source de « Flash Player » alternatif créé en langage Rust et dénommé Ruffle. Il peut constituer une solution pour tous ceux qui doivent conserver Flash.
Une autre solution consiste à s’appuyer sur Flashpoint de BlueMaxima. Ce projet a une origine purement ludique : préserver l’histoire des jeux Web écrits en Flash dans leur très grande majorité. Mais il peut probablement servir de solution alternative temporaire…