Cela fait 7 ans, depuis qu’HTML5 est arrivé, que l’on sait qu’il faut abandonner Flash et ses plugins. Non pas tant pour un manque de fonctionnalités mais parce qu’il présente trop de faiblesses de sécurité. Et Adobe malgré ses patchs à répétition n’est jamais arrivé à les surmonter.

Une agonie qui aura duré 7 ans

En 2011, selon W3Techs, une division de Q-Success Management Consulting, 30 % des sites Internet  comportaient des fichiers Flash. Ce chiffre est tombé à moins de 8 % en 2017. Ce qui peut sembler beaucoup si l’on considère que Flash est dépassé, rempli de failles et même, d’une certaine manière, abandonné par Adobe lui-même. Il convient donc de s’en débarrasser ?

Flash, la technologie vidéo d’Adobe a souffert de 2 grands évènements dans son histoire. D’abord le « lâchage » pur et simple de Steve Jobs en avril 2010, qui dans une longue lettre ouverte avait dénoncé les faiblesses du format Adobe : manque d’ouverture, montée en puissance de H.264, gros problèmes de sécurité, manque d’autonomie de la batterie du fait du non alignement des machines, incompatibilité avec les interfaces tactiles et surtout à l’époque, ce qui peut faire sourire aujourd’hui venant d’Apple, la volonté d’Adobe d’aller vers des solutions multi-plates-formes… ce qui selon Steve Jobs ne pouvait que nuire à la qualité des applications.

Evidemment Adobe n’était pas d’accord, mais ce n’est pas lui qui détenait les cartes maîtresses. Exit donc Flash des machines Apple.

Le 2 ème évènement est en fait une suite d’incidents, qui ont porté un coup terrible à la réputation sécuritaire de Flash.

En 2009, Symantec faisait remarquer que Flash et le « reader » PDF constituaient la seconde vulnérabilité la plus exploitée pour attaquer les machines.

Ce n’était que le début. En 2010, Flash est resté longtemps à la une du fait de manquements graves sur Windows, Mac, Linux, Solaris, Unix et même Android sur les mobiles. Ce qu’avait confirmé Kaspersky qui précisait que cette année-là, 47,5 % de ses propres clients avaient soufferts d’attaques portées sur les vulnérabilités de Flash.

Et chaque année le même scénario s’est reproduit, en 2016 par exemple, où plus de 2 douzaines d’attaques se sont produites dans les premiers mois de l’année. Obligeant Adobe à réagir, qui en juillet 2016 publiait une série de patchs pour combler 52 vulnérabilités flagrantes. Suivies à la fin 2016 d’une autre série de patchs toute aussi inquiétante.

Bref, rien ne va plus et de nombreuses entreprises ont carrément mis Flash à l’index, avec interdiction de faire appel à lui, pour les nouvelles applications, aussi bien sur desktop que sur mobile.

Sage précaution, mais qui n’est pas toujours respectée et en 2017, nombre d’entre elles continuent de l’utiliser et à mettre à jour les plugins associés. Ce qui contribue à fragiliser leur édifice sécuritaire, déjà pas facile à maîtrise, du fait de la faiblesse des protocoles issus d’Internet (une vieille histoire…).

A priori c’est encore le cas avec quelques grands noms sur Internet comme ceux de Fox News et Starbucks.

Accélérer la migration vers HTML 5

Dès son annonce en 2014, HTML 5 s’est doté d’un élément essentiel, une capacité à afficher des vidéos et animations sans passer par un plugin Flash et la volonté de toucher tous les domaines : animations, publicités, jeux, audio, graphiques 2D/3D, streaming, WebSockets, accès au microphone et à l’appareil photo.

De plus, comme HTML 5 est une version renouvelée d’HTML, il ne nécessite pas comme Flash d’apprendre un nouveau langage (ActionScript) et on reste dans un environnement connu avec HTML, JavaScript et CSS. Sans oublier les API JavaScript d’accompagnement, telles que jQuery ou Angular, qui peuvent être largement sollicitées pour les mêmes besoins.

Pour ne rien arranger, comme le marché s’est fortement tourné vers les mobiles, Flash souffre toujours de la « malédiction » de Jobs et n’est pas présent sur iOS. Un manque impardonnable, si l’on veut aborder les marchés grand public.

Côté navigateurs la situation est de plus en plus claire.

Mozilla bloque Flash depuis la mi-2016 et plus récemment Microsoft en a fait autant avec Edge (Windows 10), de même que Google, qui a commencé par désactiver Flash sur Chrome, dès lors qu’une vidéo était à lire mais qu’un lecteur HTML5 était disponible. Flash est maintenant devenu totalement indésirable sur toutes les versions actives de Chrome.

Plus question, par conséquent, de tergiverser et de ménager la « chèvre et le choux »…

Même si personne ne nie que Flash a toujours des avantages que n’a pas HTML 5, il présente trop d’insuffisances pour être maintenu.

En termes stratégiques, 2 cas de figure se présentent pour les entreprises :

  • pour les nouvelles applications, on exclura totalement Flash et on se limitera à HTML5 (Canvas…), aussi bien que les sites Web classiques que pour les mobiles.
  • pour les applications plus anciennes, soit on les réécrit avec HTML5, pour les parties concernées, soit on se contente de traduire les fichiers Flash en HTML5, ce que de nombreux utilitaires proposent aujourd’hui de faire, y compris chez Adobe, mais ne sera pas toujours évident, compte tenu de ce qu’il n’y a pas nécessairement correspondance entre les 2 formats. A noter qu’il faudra aussi traiter le cas des applications Flex, qui elles-aussi comportent souvent des animations Flash.

De toute façon, le mouvement est engagé. Et on ne reviendra pas en arrière.

Adieu donc à Flash et à ActionScript. C’est toute une époque qui se termine, de 24 ans très précisément, depuis que l’application SmartKetch de dessin vectoriel de FutureWave Software avait été écrite, rachetée par Macromedia, lui-même avalé par Adobe. Steve Jobs doit être content.