C'est la deuxième fois en quelques semaines et la cinquième fois cette année, qu'Adobe livre un correctif pour Flash en dehors de son calendrier de mise à jour. Compte tenu des circonstances, Adobe a même sorti son patch un dimanche, une procédure très inhabituelle pour l'éditeur. « Des rapports nous indiquent que cette vulnérabilité est exploitée de manière sauvage et active dans des attaques ciblées visant à inciter les utilisateurs à cliquer sur un lien malveillant envoyé par mail » a déclaré Wiebke Lips, la porte-parole d'Adobe. « Nos informations montrent que les attaques actuelles ciblent spécifiquement Gmail. Mais nous ne pouvons pas exclure que d'autres fournisseurs de services de messagerie soient aussi pris pour cible, » a-t-elle ajouté.

Selon Adobe, la faille dans Flash est du type « cross-site scripting », un type de vulnérabilité souvent utilisé par les voleurs d'identité pour subtiliser les noms d'utilisateur et les mots de passe dans les navigateurs internet mal protégés. En fait, ce ne sont pas les navigateurs eux-mêmes qui sont visés, mais plutôt le plug-in Flash Player, que pratiquement tout utilisateur a installé dans son navigateur. Adobe a fait savoir que Google avait signalé la faille à son équipe de sécurité.

Pas de corrélation avec les attaques récentes contre Google

Les attaques ciblées ayant pour objectif de voler des informations de compte sont monnaie courante. Mais depuis mercredi, elles attirent à nouveau l'attention, depuis que Google a accusé les pirates chinois de cibler des hauts responsables du gouvernement américain, entre autres, pour piller leurs noms d'utilisateur et leurs mots de passe de compte Gmail. La Chine nie les allégations de Google, mais le Federal Bureau of Investigation (FBI) continue à enquêter sur la plainte de la firme de Mountain View. Les attaques visant à voler des informations de comptes Gmail en utilisant la vulnérabilité du Player Flash semblent cependant différentes de celles constatées par Google la semaine dernière.

Ces attaques, actives depuis le mois de février au moins, ne repose pas sur l'exploitation d'une faille, mais tentent plutôt de tromper les victimes en leur demandant de renseigner leur nom d'utilisateur et leur mot de passe après les avoir dirigé vers un faux site Gmail. Depuis dimanche, les mises à jour des versions Windows, Mac OS X et Linux du Player Flash d'Adobe sont disponibles. Adobe prévoit également de livrer une version corrigée pour Android dans le courant de la semaine. Google, qui intègre le Flash Player avec Chrome, a également mis toutes les versions  - stable, beta et dev - de son navigateur à jour dès dimanche avec la version patchée de Flash.

Une faille importante

Adobe qualifie la vulnérabilité d' « importante », soit au second rang en termes de gravité dans le système d'évaluation de l'éditeur. Elle signifie que les attaquants peuvent accéder aux données présentes sur l'ordinateur de la victime, mais ne peuvent pas introduire de logiciels malveillants. Alors que la plupart des vulnérabilités dans Flash peuvent également être exploitées via des documents PDF infectés - Adobe Reader contient un composant nommé « authplay.dll » qui permet de restituer du contenu Flash dans les fichiers PDF - L'éditeur dit ne pas savoir si son Reader est affecté ou nom par l'attaque. « Adobe recherche actuellement l'impact de la composante Authplay.dll, » a déclaré un responsable. « Adobe n'est pas informée de toutes les attaques ciblant Adobe Reader ou Acrobat de manière sauvage. »  Pour l'instant, l'éditeur n'a pas précisé si son Reader et Acrobat seraient corrigés, mais la prochaine mise à jour régulière, prévue pour le 14 juin prochain, doit corriger des défauts déjà identifiés dans l'authplay.dll.

Les utilisateurs exécutant d'autres navigateurs que Chrome peuvent télécharger la nouvelle version du Player Flash à partir du site d'Adobe. Le mécanisme de mise à jour de Flash - ajouté à la version Mac le mois dernier - devrait  également proposer la mise à jour du plug-in.