Microsoft avait mis en place une « liste blanche » de sites privilégiés, qui pouvaient exécuter du contenu Flash sur Edge sans en avertir l’internaute. Suite à la découverte de failles de sécurité importante dans le fonctionnement de cette liste, Edge a réduit les sites privilégiés. Seul Facebook pourra continuer à utiliser Flash sans vous le dire.
Le langage de programmation Flash, bien connu pour être une passoire en terme de sécurité, est en voie d’obsolescence. Il a été abandonné par la quasi-totalité des développeurs. Et les navigateurs Internet ont l’obligation d’informer l’internaute quand une page web requiert l’utilisation d’un plug-in Flash, et de lui demander son accord avant de l’exécuter. C’est le principe du « click to play » : si vous ne validez pas explicitement, Flash ne se lance pas.
Une liste blanche sur Edge pour le contenu Flash
Sur Edge, la situation est légèrement différente. Jusque début 2019, une liste blanche de 58 noms de domaine avaient droit aux faveurs de Microsoft, et pouvaient exécuter du Flash sans en avertir l’utilisateur. Les sites de Microsoft, Deezer, Facebook ou Yahoo étaient concernés.
Mais un chercheur en sécurité de Google a découvert, en novembre 2018, que le mécanisme de cette liste blanche contenaient de nombreuses failles de sécurité. Sa constitution et son fonctionnement étaient tellement anarchiques que le chercheur se demandait même si le Microsoft Security Response Center était au courant de cette liste blanche. Quoi qu’il en soit, il en a averti Microsoft, qui a fourni un correctif lors du Patch Tuesday de février 2019.
Facebook garde les faveurs de Microsoft
Cette liste blanche a depuis été réduite à deux noms de domaine : https://www.facebook.com et https://apps.facebook.com. Microsoft continue de faire une énorme exception pour Facebook. Le réseau social possède en effet la plus grande collection de jeux Flash encore actifs du net – et de très, très loin.
Reste à savoir si cette exception est totalement légale. Et quel accord secret entre les deux géants du net a conduit Microsoft à faire ce type de faveur au réseau social.