La technologie Flash a connu son heure de gloire dans les années 2000, et a été utilisé abondamment sur de très nombreux sites Internet. Les plus ambitieux avaient des sites complets en Flash, qui ne s’ouvraient pas si Flash était désactivé. C’est aussi Flash qui a servi de plateforme pour la multitude de petits jeux vidéo qui se jouaient dans les navigateurs.
Flash a mauvaise réputation en terme de cyber sécurité avec de très nombreuses failles assez graves apparaissant régulièrement, et a été supplanté par de nouvelles technologies (HTML5 surtout).
L’éditeur de Flash, Adobe, l’avait annoncé il y a longtemps : il met fin à Flash avec une fin de vie au 31 décembre 2020. Les navigateurs web ont tous annoncé qu’ils stopperaient l’intégration des plugins Flash en fin décembre 2020 ou fin janvier 2021.
En résumé : bientôt il se ne sera plus possible d’ouvrir du contenu en Flash.
Les prochains: Silverlight et le protocole http
Silverlight a été le concurrent tardif de Flash lancé par Microsoft. Ce projet a aussi été abandonné, et il est d’ores et déjà difficile de le faire fonctionner dans les navigateurs modernes : par exemple Firefox, Chrome et Edge ne le supportent pas, il faut utiliser Internet Explorer 10 ou 11 et manuellement installer le plugin.
La fin de vie (EOL) de Silverlight est annoncée pour le 12 octobre 2021.
Le protocole http (à opposer à https qui est sécurisé) est le protocole historique du web. Il pose de nombreux problèmes de sécurité structurels parce que le trafic circule en clair et qu’il n’est pas possible de garantir l’authenticité du contenu et la source.
C’est ce qui fait que le web migre entièrement vers le https. Les géants de l’internet poussent dans cette direction : par exemple depuis octobre 2020 Google Chrome bloque les téléchargements de fichiers http depuis des liens https.
Certaines méthodes d’encryptions de contenu en https sont également considérées comme non fiable à l’heure actuelle : TLS 1.0 et TLS 1.1. Pour cette raison Google chrome bloque depuis octobre aussi l’accès aux sites utilisant le https avec ces certificats. Cela donne :
Dans le secteur maritime
Les technologies Flash, Silverlight ont étés utilisées dans l’interface de certains outils : l’interface web de connexion à des systèmes de vidéo surveillance par exemple, la page de configuration de serveurs de fichiers NAS …
Le http de son côté est très souvent la seule solution fournie par le fabriquant.
Tous les outils à interface web peuvent être concernés. Les plus à risque sont les plus anciens et ceux utilisés non fréquemment pour lesquels le problème risque de ne pas être anticipé et de devenir bloquant à un moment critique.
Il faut donc inventorier les systèmes et les technologies utilisées par leurs interfaces web, et mettre en place des stratégies de contournement si le fabriquant ne vous fournit pas de solution.
Vérifiez l’interface de vos VDR, de vos switches configurables, de vos serveurs NAS, de vos systèmes de vidéosurveillance, etc. et intégrez dans vos inventaires les détails techniques des interfaces utilisées à bord.
Ressources :
https://www.ncsc.gov.uk/blog-post/enterprise-patching-in-a-post-flash-world
https://blog.chromium.org/2020/02/protecting-users-from-insecure.html