IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Java : la nouvelle cible privilégiée des pirates
Faute d'une réelle politique de protection selon des experts

Le , par tarikbenmerar
26 commentaires

66PARTAGES

9  2 
Le constat est alarmant ! Les vulnérabilités liées à la plateforme Java sont en augmentation selon Jason Jones, un chercheur en sécurité qui présentera les derniers résultats de ses travaux ce mardi, à la conférence Black Hat USA 2012.

Jones a surveillé le développement de quelques toolkits d'exploits Web des plus utilisés, tels que BlackHole et Phoenix, ce qui lui a permis d'en arriver à cette conclusion inquiétante. Et la situation pourrait s'aggraver davantage, met en garde l'expert en sécurité, si Oracle ne met pas en place une réelle politique de protection des produits, avec des mises à jour constantes.

On le sait, les plug-ins des navigateurs, tels que Flash Player ou Acrobat Reader, sont la cible privilégiée des hackers. Mais les exploits récents témoigneraient d'un ciblage de plus en plus prononcé des plug-ins Java, du fait d'une plus grande probabilité de succès des attaques, estimée à 80 % par Jason Jones, par ailleurs collaborateur à HP DVLabs (Hewlett-Packard's vulnerability research division).

D'autres, comme Carsten Eiram (expert en sécurité à Secunia), reprochent à Oracle de ne pas avoir introduit un cycle de développement de sécurité (SDL). Ce processus a permis à Adobe de faire décroître significativement le nombre d'attaques sur ses produits Flash Player et Adobe Acrobat, avec des mises à jour régulières et automatiques.

De fait, les utilisateurs de Java ne se mettent pas régulièrement à jour, ce qui laisse la place libre aux hackers. Java serait ainsi en phase de remplacer Flash en tant que cible privilégiée des vulnérabilités zero-day. Même si des mécanismes d'isolation (ou Sandboxing) existent au sein de Java, une faille minime dans ce système peut s'avérer fatale, selon Eiram.

Des fonctionnalités des navigateurs peuvent éviter à l'utilisateur des risques majeurs, tel que le click-to-play, qui empêche l'exécution automatique des contenus basés sur des plug-ins.

Certains vont jusqu'à conseiller à l'utilisateur de supprimer intégralement le plug-in Java, moins utilisé que d'autres dans la navigation quotidienne. Mais cela n'est pas envisageable dans le cercle des professionnels. Selon Eiram, certaines banques utilisent encore Java en interne pour leurs plateformes de E-Banking.

Source :

CSO

Et vous ?

Partagez-vous l'avis de ces experts ?
Quelle politique de protection devrait mettre en place Oracle selon vous ?

Une erreur dans cette actualité ? Signalez-nous-la !

26 commentaires
Commenter Signaler un problème
zeyr2mejetrem
Avatar de zeyr2mejetrem
Membre chevronné https://www.developpez.com
Le 30/07/2012 à 14:15
Citation Envoyé par AsteroHache Voir le message

J'en vois certains qui sourient... doivent être sur linux !
Attention quand même. J'ai connu un intervenant de la DCRI qui m'expliquait que lors de leurs tests d'intrusion, les équipes de faux "Chapeaux noirs" étaient content quand ils apprenaient que la cible était sous Linux ... car ils savaient qu'ils rentreraient tôt le soir

Je ne dis pas que Linux n'est pas sûr.
Ce que je dis c'est qu'à force de dire "Sous Linux les virus n'existent pas" ou "Je n'ai jamais été infecté sous Linux", on donne à la plèbe une fausse impression de sécurité.
Du coup beaucoup d'admin Linux (en PME du moins) ont des uptimes de fou sur leurs serveurs et ne mettent pas à jour quotidiennement les logiciels sécuritairement défaillants notamment Java (Pourquoi faire, Linux est prétendûment indestructible), ce qui crée une voie royale pour les Hackers.

Quelquesoit l'OS, le maillon faible est souvent entre la chaise et le clavier
11  0 
Uther
Avatar de Uther
Expert éminent sénior https://www.developpez.com
Le 30/07/2012 à 15:37
Citation Envoyé par AsteroHache Voir le message
Mais quand on voit ce qu'il faut faire dans ce cas de java, c'est aussi normal pour l'utilisateur novice de ne pas savoir...

De plus, quand on installe une maj, la java 7 update 5, elle est censée désinstaller les autres maj antérieures. Cela a été le cas sur ma machine.
Mais on observe, pour celui qui sait qu'il faut aller voir, que ce n'est pas toujours le cas.
Avoir une vielle version installée en plus de la plus récente ne pose pas de problème de sécurité vu que seule la dernière JVM installée est utilisée par le navigateur. Au pire, c'est de l'espace disque gaspillé.
Pour utiliser une ancienne JVM, il faut qu'elle soit démarré par l’application qui y fait appel, et c'est donc fait en connaissance de cause.
3  0 
Uther
Avatar de Uther
Expert éminent sénior https://www.developpez.com
Le 30/07/2012 à 16:18
Citation Envoyé par AsteroHache
Si on reprend la page du dessus, il est dit cela:
L'accumulation d'anciennes versions non prises en charge de Java sur votre système présente un risque important pour la sécurité.
Donc si on suit ce que dit le site éditeur, il y a bien des risques quand même...
C'est juste que le spécialiste parle de la partie la plus visible des updates Java pour essayer de mieux mettre en valeur le problème, mais c'est faux : le navigateur utilise la dernière version du JRE installée.

Les anciennes versions ne peuvent plus être utilisées que par des applications locales qui y font appel directement.
3  0 
Elendhil
Avatar de Elendhil
Membre averti https://www.developpez.com
Le 30/07/2012 à 16:38
C'est une bonne chose d'un sens, à force Oracle va peut être se décider à mettre par défaut les mises à jour automatisés et silencieuse.

La faute n'est pas entièrement d'Oracle vu que la majorité des hacks/trojan/virus ne sont pas dû à "des failles 0 days". Ce sont juste des jvm qui n'ont pas été mis à jour ...

Pour quelles raisons les utilisateurs ne font pas ces updates (c'est automatisé depuis longtemps) , pas facile à savoir.

Peut-être ils ne savent pas ce que sait donc refuse la mise à jour , ils n'ont pas les droits, le système est corrompu , n'ont jamais le temps on verra ça plus tard ...

En tout cas ce que fait Google avec Chrome a l'air d'être le plus efficace ne jamais demandé à l'utilisateur, 100% automatisé et invisible.
3  0 
ManusDei
Avatar de ManusDei
Expert confirmé https://www.developpez.com
Le 30/07/2012 à 16:43
Citation Envoyé par Elendhil Voir le message
Pour quelles raisons les utilisateurs ne font pas ces updates (c'est automatisé depuis longtemps) , pas facile à savoir.
Simple, ils ne comprennent pas vraiment ce que c'est que cette histoire de Java et pourquoi le mettre à jour, ils le lancent jamais ce logiciel appellé "Java" (c'est un logiciel de musique, de danse ? ). Est-ce que ce truc c'est une vraie mise à jour, ou ça veut installer un virus ?

J'ai du nettoyer l'ordinateur de ma mère à cause de ça il y a peu de temps à cause de ça. J'aurais au moins découvert RogueKiller
3  0 
Loceka
Avatar de Loceka
Expert confirmé https://www.developpez.com
Le 31/07/2012 à 9:45
Citation Envoyé par AsteroHache Voir le message
+1 pour les maj silencieuses et forcées donc.
Je suis le seul à vouloir contrôler un minimum ce qui se passe sur mon PC (question réthorique, je sais que je ne suis pas le seul) ?

Personnellement je déteste quand une appli se met à jour sans mon consentement et encore plus de manière silencieuse.
D'autant que pour Java c'est dangereux pour les développeurs vu que ce n'est pas rare que les updates introduisent des bugs, ce qui est généralement mal pris par les clients...
3  0 
Uther
Avatar de Uther
Expert éminent sénior https://www.developpez.com
Le 01/08/2012 à 7:09
Cet article parle de Javascript qui n'a absolument rien a voir avec Java.
Faire ce genre de chose avec Java, lèverait un message d'alerte.
3  0 
Uther
Avatar de Uther
Expert éminent sénior https://www.developpez.com
Le 30/07/2012 à 14:56
Citation Envoyé par Grimly Voir le message
Je ne comprends pas. La quasi totalité des failles de nos programmes viennent du(des) développeur(s) derrière ce même programme (sans vouloir offenser personne, je n'en suis ni à ma première et surement pas à ma dernière faute). En quoi Oracle a le devoir de maintenir la sécurité de ce qu'il ne maîtrise pas ?
Tu as mal compris : bien sur que si l'utilisateur accepte d'exécuter du code dangereux c'est entièrement sa faute, mais en l’occurrence, on parle des failles de sécurité dans le plugin Java, un code sur lequel Oracle a entièrement la maitrise.
2  0 
zeyr2mejetrem
Avatar de zeyr2mejetrem
Membre chevronné https://www.developpez.com
Le 30/07/2012 à 15:35
Citation Envoyé par AsteroHache Voir le message

Et je ne pense pas que cette page soit suffisante:
http://www.java.com/fr/download/faq/...erversions.xml
Pour la simple et bonne raison que 99 % ne l'ont pas lue...
On tombe sur un autre problème, celui de la responsabilité.
Beaucoup d'entreprises réfléchissent désormais en terme de "Comment je peux me couvrir pour me dégager de toute responsabilité en cas de problème ?", plutôt qu'en terme de "Comment faire pour faire de mes utilisateurs des personnes avertis qui éviteront les problèmes ?"

La logique sous-jacente tient pour moi en 2 faits:
- Il est moins cher de blinder des CGU que de "former" ses utilisateurs.
- Beaucoup d'utilisateurs ne cherchent pas ni ne veulent savoir. (C'est un peu le syndrôme du meuble Ikea ... une notice est fournie mais une majorité de gens ne prennent pas la peine de la lire puis se plaignent que "C'est tout un foutoir pour monter ce meuble, j'ai mis 3 heures à deviner comment on la monte !"
1  0 
AsteroHache
Avatar de AsteroHache
Nouveau Candidat au Club https://www.developpez.com
Le 30/07/2012 à 16:50
c'est donc un logiciel de musique ou de danse puisqu'il permet de découvrir Rock-Killer

Sur les pc que je vois, les gens ont peur de faire une connerie, et comme ils n'y connaissent rien, tout pendant que cela marche, ils ne font rien.
Aucune maj en fait...
+1 pour les maj silencieuses et forcées donc.
3  2 
Commenter Signaler un problème