Comment vous protéger de tous ces trous de sécurité Adobe Flash 0-Day
Adobe Flash est encore une fois attaqué, avec encore un autre "0-day" - un nouveau trou de sécurité exploité avant même qu'un correctif soit disponible. Voici comment vous protéger des problèmes futurs.
Un site Web malveillant - ou un site Web avec une annonce malveillante d'un réseau publicitaire tiers - pourrait exploiter abusivement l'un de ces bogues pour compromettre votre ordinateur.
Activer Click-to-Play (ou désinstaller Flash intégralement)
Vous pouvez théoriquement désinstaller Flash pour éviter ces problèmes. Il est de moins en moins nécessaire, même avec YouTube pour la suppression complète de Flash pour la vidéo HTML5 moderne dans les navigateurs Web modernes. Dans le pire des cas, lorsque vous tombez sur un site vidéo nécessitant Flash, vous pouvez toujours sortir votre smartphone ou votre tablette et utiliser le site mobile - ils sont conçus sans Flash..
Mais parfois, vous avez besoin de Flash, et nous ne pouvons pas recommander à la plupart des personnes de le désinstaller complètement. Si vous voulez que Flash soit installé - et vous le faites probablement malheureusement - l'activation de la lecture en un clic est la meilleure option à votre disposition. Cela empêche les sites Web de charger tout le contenu Flash souhaité. Lorsque vous visitez un site, vous pouvez simplement cliquer sur l'icône d'espace réservé pour charger un élément Flash spécifique, tel que la vidéo. Flash ne s'exécute pas automatiquement, vous protégeant des attaques de type «drive-by» où vous êtes infecté simplement en visitant un site Web..
Mais ne liste blanche aucun site Web!
Vous ne devez pas utiliser la liste blanche click-to-play, qui vous permet de charger automatiquement du contenu Flash sur certains sites de confiance. Voici pourquoi:
La récente attaque a été découverte dans des publicités sur Dailymotion, un site vidéo populaire. C’est le genre de site que les gens ajoutent à la liste blanche afin de ne pas avoir besoin d’un clic supplémentaire chaque fois qu’ils veulent visionner une vidéo Dailymotion. Mais la mise en liste blanche du site permettrait de charger tout le contenu Flash, y compris les annonces potentiellement malveillantes. En utilisant click-to-play et en cliquant simplement sur le lecteur vidéo principal pour le charger, cette attaque aurait pu être évitée - click-to-play vous permet de ne charger que des éléments Flash spécifiques sur une page, ce qui réduit votre vulnérabilité..
Cliquer pour jouer n'est pas une panacée, car certaines annonces sont diffusées dans des lecteurs vidéo. Oui, vous pourriez potentiellement être exploité à partir de là en utilisant une sorte de vulnérabilité zéro jour. Mais il ne s'agit pas d'éviter tous les risques, mais de minimiser autant que possible les risques..
Utiliser Chrome, Chrome ou Opera pour la Sandbox Flash
Les plug-ins de navigateur, tels que Flash, n'ont jamais été conçus pour être sécurisés, ce qui implique de les exécuter dans un environnement à faible autorisation, de sorte que les attaques qui craquent Flash ne puissent pas accéder à l'intégralité de votre ordinateur..
Google a un peu atténué ce problème avec le système de plug-in «PPAPI» (ou «Pepper API») utilisé dans Google Chrome et le navigateur open source Chromium qui constitue la base de Chrome. PPAPI fournit un bac à sable supplémentaire, qui peut vous aider à vous protéger des vulnérabilités. Mais la vraie solution est de remplacer entièrement les plug-ins.
Le récent bulletin de sécurité d'Adobe indique: «Nous sommes au courant de rapports signalant que cette vulnérabilité est activement exploitée dans le contexte naturel via des attaques par téléchargement visant des systèmes exécutant Internet Explorer et Firefox sous Windows 8.1 et version ultérieure.» Chrome n'est clairement pas mentionné. , ce qui pourrait être dû au fait que le système PPAPI offre une sécurité supplémentaire. Les utilisateurs de Chrome ne devraient pas avoir un faux sentiment de sécurité, car cela ne protège pas contre tous les problèmes - mais Chrome est probablement le navigateur le plus sûr à utiliser Flash.
Chrome comprend un plug-in Flash, mais vous pouvez également télécharger le plug-in PPAPI pour Chromium ou Opera sur le site Web d'Adobe. Le chrome constitue la base de Chrome et d’Opera. Les trois navigateurs doivent donc offrir les mêmes fonctionnalités de sécurité pour Flash..
Maintenir Flash à jour automatiquement
Veillez à garder votre plug-in Flash à jour. Cela ne vous protégera pas contre les 0 jours - pour lesquels aucun correctif n'a été publié, mais c'est un élément essentiel de la sécurisation du plug-in Flash sur votre ordinateur. Lorsque ces failles de sécurité sont corrigées, vous obtenez la mise à jour..
Il y a plusieurs moyens de le faire. Si vous utilisez Google Chrome, Google inclut le plug-in Flash en mode bac à sable (PPAPI) avec Chrome. il se mettra automatiquement à jour avec le navigateur Web Chrome afin que vous n'ayez même pas à y penser.
Si vous utilisez Internet Explorer sous Windows 8 ou Windows 8.1, Microsoft inclut également une version du plug-in Flash avec IE. Vous recevrez des mises à jour pour Flash pour IE à partir de Windows Update avec vos autres mises à jour de sécurité..
Si vous utilisez un navigateur différent - Firefox, Opera ou Chromium sur n’importe quelle version de Windows; ou même Internet Explorer sur Windows 7 ou une version antérieure - vous devrez utiliser le programme de mise à jour intégré de Flash. Flash vous recommande d'activer les mises à jour automatiques lors de l'installation, mais vous devez vous assurer que les mises à jour automatiques sont bien activées sur votre ordinateur..
Sous Windows, vous trouverez cette option sous Flash Player dans le Panneau de configuration. Ouvrez le Panneau de configuration et recherchez «Flash» pour trouver le raccourci, ou cliquez sur la catégorie Système et sécurité et faites défiler vers le bas. Cliquez sur l'icône «Flash Player», cliquez sur l'onglet Avancé et assurez-vous que les mises à jour automatiques sont activées..
Utiliser un navigateur ou un profil de navigateur différent pour Flash
Plutôt que de désinstaller entièrement Flash ou uniquement en fonction de la lecture en un clic, vous pouvez utiliser un profil de navigateur distinct sur lequel Flash est activé et l'ouvrir uniquement lorsque vous avez besoin de Flash..
Par exemple, si vous utilisez Firefox la plupart du temps, vous pouvez désinstaller Flash et installer Google Chrome. Lancez Google Chrome (fourni avec un lecteur Flash intégré) lorsque vous devez utiliser du contenu Flash. Vous pouvez également créer un «profil» distinct (compte d'utilisateur dans Chrome) dans le navigateur lui-même et désactiver Flash uniquement dans votre profil principal, en laissant Flash activé dans le profil secondaire. Cela isolerait Flash dans une zone séparée de votre navigateur principal.
Les plug-ins de navigateur sont dangereux. En réalité, les plug-ins et l'architecture de plug-in sous-jacente n'étaient pas conçus dans un souci de sécurité. Java est le pire du genre, mais même Flash a un flot incessant de problèmes. La bonne nouvelle est que le seul plug-in dont vous avez probablement besoin est Flash et que le Web en dépend moins chaque jour..