Lu chez 20 Minutes :

«Le côté graphique est souvent négligé car les hackers produisent ces mails à la va-vite, explique Fabrice Champion, chef des services France et Maghreb pour la société Kaspersky, spécialisée dans la protection des données informatiques. On remarque d’ailleurs qu’il n’y a quasiment jamais d’animations en flash dans ces mails alors qu’on en trouve régulièrement dans ceux qui proviennent de sites officiels.»

Mon dieu... qualifier Flash d'indice positif de sécurité accrue !

Le lecteur Adobe Flash a, au cours du temps, été la cible de nombreuses attaques... je me rappelle notamment d'une époque où il y avait sans cesse des mises à jour de sécurité. En 2011, lorsque j'étais de visite chez Microsoft Research à Redmond, mes collègues m'expliquèrent que, Microsoft ayant fait de grands efforts de sécurisation (fuzzing intelligent des lecteurs de fichiers et de protocoles Web, etc.), les pirates visaient dorénavant notamment les produits Adobe (PDF et Flash). Sur certaines plate-formes, Flash n'est pas installé, pour des raisons de sécurité notamment. Dernièrement, j'ai encore eu à expertiser un article scientifique illustrant des méthodes d'instrumentation de code par l'exemple de la sécurisation d'ActionScript, le langage de script de Flash...

Tout cela n'est pas sérieux. J'aurais pour ma part beaucoup plus confiance en ma banque, mon assureur etc. s'ils n'utilisaient pas de Flash, pas de JavaScript compliqué, etc. De tels sites n'ont, en effet, pas à recourir à des effets graphiques sophistiqués pour me présenter les informations dont ils traitent !

(Une petite remarque de ma part : une recommandation de bon sens est de ne jamais répondre à un courriel qui renvoie sur un site qui n'est pas le site officiel de l'entreprise concernée. Or, certaines entreprises utilisent des services de prestataires externes pour, par exemple, des sondages de contentement ; les courriels appelant à répondre renvoient sur les sites de ces prestataires... Il me semble que cela est contre-productif, car cela donne l'habitude aux clients de répondre à des tiers.

Par ailleurs, de nombreuses entreprises ne proposent pas l'intégralité de leur site en HTTPS, réservant le chiffrement SSL à la partie traitant d'informations client confidentielles. Il me semble cependant qu'il est souhaitable que des tiers ne puissent pas altérer, pendant leur transmission, le contenu des pages d'information générales d'un site tel que celui d'un compagnie d'assurance ou d'une banque... On peut ainsi très bien imaginer une page non sécurisée modifiée fournissant un lien vers un faux site sécurisé. Certes, cela nécessite une attaque avec interception de communication et remplacement de données (man-in-the-middle), et non simplement espionnage de la communication en cours, mais cela me paraît jouable par exemple sur une infrastructure wifi.)