Les failles de sécurité critiques s’enchaînent pour Flash depuis quelques semaines. De nombreuses vulnérabilités zero-day ont ainsi pu être longuement exploité par Hacking Team, une entreprise italienne vendant des logiciels espions… jusqu’à ce que Hacking Team soit piraté à son tour. L’arroseur arrosé, en quelque sorte.

Des failles sur Internet Explorer et Windows étaient aussi exploitées par Hacking Team. Qu’il s’agisse de Microsoft ou d’Adobe, les deux éditeurs ont réagi rapidement en appliquant des patchs de sécurité pour leurs logiciels.

C’est pourtant bien sur le Flash Player que le web s’est défoulé. Si connait déjà la position d’Apple sur le sujet, le responsable de la sécurité de Facebook est allé de son petit commentaire incisif sur son compte… Twitter : « Il est temps qu’Adobe annonce une fin de vie pour Flash et de demander aux navigateurs de le couper au jour J ». Rien que ça. Autant demander à Facebook de respecter la vie privée de ses utilisateurs.

S’il faut reconnaitre que Flash est de plus en plus dispensable dans de nombreuses situations, comme pour la vidéo ou la musique où les balises video et audio implémentées dans HTML5 permettent d’intégrer très facilement des éléments multimédias, il reste encore très utilisé dans d’autres domaines, comme le jeu en ligne. Bien sûr, l’élément canvas (d’ailleurs introduit à l’origine par… Apple) permet de créer des rendus dynamiques d’images, mais on est aujourd’hui bien loin de voir des productions HTML5 comme celle-ci utilisant Flash.

Parler de Flash, ça fait le buzz (et en mal, c’est encore mieux). Même le blog de Jean-Marc Morandini s’est fendu d’un article sur les failles de Flash. Alors, quand Firefox décide de couper toutes les versions de Flash vulnérables, c’est presque un défoulement et une succession d’articles sur le web où l’on apprend que Mozilla a pris cette décision « parce qu’ils en ont ras-le-bol ». Ah bon… Quand Mozilla a désactivé les plugins Java et Unity Player parce que ces versions présentaient des failles de sécurité (non, elles ne sont pas réservées qu’à Flash), c’est un ras-le-bol aussi ? Ou ne serait-ce pas simplement éviter qu’une faille critique connue soit potentiellement exploitée sur l’ordinateur client ?

Le but de cet article n’est pas de se faire l’avocat du diable mais de modérer un peu ce qu’on peut lire à gauche et à droite ces derniers jours. Flash est logiquement sur le déclin, puisqu’à part pour les trop rares contenus élaborés, HTML5 est capable de faire la même chose sans avoir à payer un logiciel ou installer un plugin propriétaire. Mais quand des grands groupes tirent sur Flash, c’est surtout la société éditrice, Adobe, qui est visée, plus que le plugin lui-même. Et plus que de sécurité, c’est bien d’enjeux financiers dont on parle là.