S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Flash corrigé pour empêcher l'espionnage par webcam et micro

Souriez, vous êtes espionnés

Adobe travaille actuellement à la résolution d’un problème concernant son lecteur Flash. Celui-ci est singulier car, une fois exploité, il peut permettre à un pirate de prendre le contrôle de la webcam d’un utilisateur et donc de l’espionner à son insu.

webcam 

Un détournement de clics et une webcam possédée

La faille a été découverte Feross Aboukhadijeh, un étudiant en informatique de l’université de Stanford. Il explique sa découverte sur son blog et poste d’ailleurs une vidéo de démonstration pour prouver ses dires :


La technique au centre de l’exploitation est particulièrement connue et très en vogue, surtout sur Facebook : le clickjacking. Ainsi de nombreux utilisateurs se sont fait avoir sur des sites simulant un bouton Lecture ou « J’aime » et engendrant en réalité un suivi de la page. Le but est toujours d’amener l’utilisateur à effectuer une action contre sa volonté et qu’il n’aurait sans doute pas menée s’il avait eu le choix.

Le concept derrière l'exploitation

Dans le cas de la faille de Flash, il a suffi à Feross Aboukhadijeh de cacher un contrôle d’activation de la webcam derrière un faux bouton dans un jeu vidéo. Plus précisément, il a caché le fichier SWF du Flash Settings Manager dans un iFrame ce qui lui permet de contourner le contrôle JavaScript. Ce fameux contrôle qui demande à l'utilisateur s'il veut ou non activer la webcam.

L’auteur ne s’attendait pas à ce qu’un fichier SWF caché dans un iFrame puisse effectivement être utilisé pour du clickjacking et du coup activer la caméra à l'insu de l'utilisateur.

adobe flash 

Techniquement, tous les systèmes d’exploitations et navigateurs sont concernés, mais l’enchainement des actions menant à l’activation de la webcam requière plusieurs clics très précis, un élément sur lequel le pirate ne peut avoir aucune garantie de succès. Feross Aboukhadijeh a écrit un proof-of-concept mais ce dernier ne fonctionne réellement que dans Safari et Firefox qui sont les seuls à pouvoir modifier l’opacité ou le z-index d’un fichier SWF dans un iFrame. Il estime cependant qu’une autre exploitant des iFrames multiples pourrait fonctionner n’importe où.

Adobe a fini par réagir

Aboukhadijeh ajoute sur son blog qu’il a prévenu Adobe du problème voilà plusieurs semaines mais que l’éditeur n’avait pas répondu. Mais la situation est maintenant différente car son billet a fait le tour du web et la presse s’est emparée du sujet, deux évènements qui ont poussé Adobe a passer du point mort à la première. Sur CNet, Adobe a seulement réagi voilà deux jours par le biais de la porte-parole Wiebke Lips :

« Notre équipe d’ingénieurs travaille actuellement sur une solution. Notez que le problème n’implique ou ne requière pas une mise à jour logicielle et/ou une action de l’utilisateur (en d’autres termes, il n’y aura aucun bulletin de sécurité). Il s’agit d’un correctif que nous développons en ligne de notre côté, et il sera publié en direct dès que l’assurance qualité aura terminé ses tests. »

Elle avait ajouté que le correctif pourrait être prêt dès la fin de cette semaine. Chose promise, chose due : le fichier SWF Flash Player Settings Manager a été mis à jour sur les serveurs d’Adobe. Tous les appels dirigés vers lui tiennent donc compte désormais de la correction et ne permettent plus d’activer la webcam ou le microphone.
Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.

Publiée le 21/10/2011 à 16:12

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 36 commentaires

Avatar de Crysalide INpactien
Crysalide Le vendredi 21 octobre 2011 à 16:17:08
Inscrit le mardi 24 mars 09 - 5372 commentaires
Encore une attaque Feross contre la fiabilité des produits d'Adobe.

Edité par Crysalide le vendredi 21 octobre 2011 à 16:17
Avatar de abitbool INpactien
abitbool Le vendredi 21 octobre 2011 à 16:17:25
Inscrit le vendredi 17 juillet 09 - 1607 commentaires
Est-ce que sur un portable avec webcam intégré, la LED de la webcam s'allume forcément ? ou est-ce géré logiciellement ?
Avatar de taralafifi INpactien
taralafifi Le vendredi 21 octobre 2011 à 16:18:53
Inscrit le samedi 22 juillet 06 - 4663 commentaires
Heureusement que je n'ai pas de flash sur ma webcam
Avatar de Baldurien INpactien
Baldurien Le vendredi 21 octobre 2011 à 16:19:05
Inscrit le lundi 9 mai 05 - 747 commentaires
Ce qui serait bien c'est qu'ils corrigent
1) le fait que la mise à jour soit prévenue au démarrage du système uniquement en mode admin (donc sous Win7, en utilisateur normal, Flash restera à son ancienne version jusqu'à ce que vous daignez utiliser votre compte admin),
2) avoir des settings locaux qui n'impliquent pas de passer par adobe.com ... mais là, c'est trop demander :o
Avatar de sebtx INpactien
sebtx Le vendredi 21 octobre 2011 à 16:19:21
Inscrit le mardi 8 janvier 08 - 1793 commentaires
Est-ce que sur un portable avec webcam intégré, la LED de la webcam s'allume forcément ? ou est-ce géré logiciellement ?


La LED s'allume je pense car elle s'allume lorsque la moindre application accède à la webcam. De plus si j'ai bien compris, cette attaque exploite une technique visant à faire cliquer l'utilisateur comme si il cliquait de lui-même sur l'autorisation d'afficher la cam.

Il y a 36 commentaires

;