Les exploits contre la sécurité informatique durant la première moitié de 2011 étaient en grande partie associés aux vulnérabilités de la famille de produits Java, la technologie maintenue par Oracle.
Le rapport Security Intelligence de Microsoft souligne en effet un record : entre le tiers et la moitié des exploits sont dus à des failles dans l'environnement d'exécution (JRE), la machine virtuelle (JVM) et le JDK.
Oracle ne tarde pas outre mesure à proposer des correctifs ; le problème réside plutôt dans leur propagation, diagnostique Tim Rains, directeur du groupe Trustworthy Computing à Microsoft.
« Plusieurs des failles Java les plus communément exploitées sont anciennes, et avaient eu des mises à jour de sécurité depuis des années ». Ainsi, les solutions utilisées par les attaquants servent longtemps, car les attaquants qui développent, ou rachètent des kits de piratage, continuent d'obtenir un retour positif sur investissement, observe Tim Rains.
À titre d'exemple, la faille la plus exploitée (CVE-2010-0840, touchant le JRE) a été corrigée en mars 2010 et a attendu le dernier trimestre de la même année pour gagner en popularité auprès des hackers malintentionnés.
La problématique est d'autant plus exacerbée que bien souvent, plusieurs versions majeures de l'environnement d'exécution du langage cohabitent sur une même machine (en fonction des solutions qui réclament leur présence).
Le rapport de Microsoft repose sur le nombre d'exploits arrêtés par sa solution antimalware, ayant bloqué 27.5 millions d'attaques sur les 12 derniers mois.
Si Tim Rains préfère insister sur la nécessité des mises à jour auprès des utilisateurs et sysadmins, Chester Wisniewski de Sophos va d'emblée jusqu'à conseiller de se passer de Java : « la plupart des personnes n'utilisent pas Java de nos jours, et ça [ne pas installer Java] réduit la surface d'attaque en provenance d'Internet », affirme-t-il.
Les développeurs Java, le langage de programmation le plus populaire, apprécieront !
Télécharger le rapport
Sources :
Blog officiel de la sécurité Microsoft
Blog de Sophos Security
Et vous ?
Que pensez-vous de la situation que dépeint ce rapport ?
Faut-il déconseiller l'installation de Java comme le suggère le responsable de Sophos ?
Près de la moitié des attaques exploitent des failles de Java
Par défaut de mises à jour, d'après le rapport Security Intelligence de Microsoft
Près de la moitié des attaques exploitent des failles de Java
Par défaut de mises à jour, d'après le rapport Security Intelligence de Microsoft
Le , par Idelways
Une erreur dans cette actualité ? Signalez-nous-la !