Java : la nouvelle cible privilégiée des pirates
Faute d'une réelle politique de protection selon des experts

Le , par tarikbenmerar, Chroniqueur Actualités
Le constat est alarmant ! Les vulnérabilités liées à la plateforme Java sont en augmentation selon Jason Jones, un chercheur en sécurité qui présentera les derniers résultats de ses travaux ce mardi, à la conférence Black Hat USA 2012.

Jones a surveillé le développement de quelques toolkits d'exploits Web des plus utilisés, tels que BlackHole et Phoenix, ce qui lui a permis d'en arriver à cette conclusion inquiétante. Et la situation pourrait s'aggraver davantage, met en garde l'expert en sécurité, si Oracle ne met pas en place une réelle politique de protection des produits, avec des mises à jour constantes.

On le sait, les plug-ins des navigateurs, tels que Flash Player ou Acrobat Reader, sont la cible privilégiée des hackers. Mais les exploits récents témoigneraient d'un ciblage de plus en plus prononcé des plug-ins Java, du fait d'une plus grande probabilité de succès des attaques, estimée à 80 % par Jason Jones, par ailleurs collaborateur à HP DVLabs (Hewlett-Packard's vulnerability research division).

D'autres, comme Carsten Eiram (expert en sécurité à Secunia), reprochent à Oracle de ne pas avoir introduit un cycle de développement de sécurité (SDL). Ce processus a permis à Adobe de faire décroître significativement le nombre d'attaques sur ses produits Flash Player et Adobe Acrobat, avec des mises à jour régulières et automatiques.

De fait, les utilisateurs de Java ne se mettent pas régulièrement à jour, ce qui laisse la place libre aux hackers. Java serait ainsi en phase de remplacer Flash en tant que cible privilégiée des vulnérabilités zero-day. Même si des mécanismes d'isolation (ou Sandboxing) existent au sein de Java, une faille minime dans ce système peut s'avérer fatale, selon Eiram.

Des fonctionnalités des navigateurs peuvent éviter à l'utilisateur des risques majeurs, tel que le click-to-play, qui empêche l'exécution automatique des contenus basés sur des plug-ins.

Certains vont jusqu'à conseiller à l'utilisateur de supprimer intégralement le plug-in Java, moins utilisé que d'autres dans la navigation quotidienne. Mais cela n'est pas envisageable dans le cercle des professionnels. Selon Eiram, certaines banques utilisent encore Java en interne pour leurs plateformes de E-Banking.

Source :

CSO

Et vous ?

Partagez-vous l'avis de ces experts ?
Quelle politique de protection devrait mettre en place Oracle selon vous ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de AsteroHache AsteroHache
http://www.developpez.com

le 30/07/2012 13:33
Bonjour

quand je vois ce qu'il faut parfois faire pour la maj de cette plateforme, et surtout sur la suppression des anciennes failles, je comprends que les Hackers ont la vie belle...
Un billet du jour suite à la lecture de votre info:
http://declicomatik.forumgratuit.org...nstat-alarmant

car le mieux reste l'avertissement de ce qu'il faut faire pour les utilisateurs.

Il y a deux jours sur une machine d'ami, la maj de java 7 update 5 n'a pas supprimé la maj java 6 update 33... d'où les failles, qui auraient perduré pour 99 % des utilisateurs non avertis...

Merci pour vos infos en tous les cas, qui ne rassurent pas...

Edit:
J'ajoute deux outils conçus par des Helpers, désinfecteurs en ligne, qui visent justement à vérifier si tout est à jour:
SX Check&Update de Igor51 : http://forum.security-x.fr/tutoriels...x-checkupdate/
WhyIGotInfected de Tigzy: http://www.sur-la-toile.com/WIGI/
voili voilou, ceux qui passeront par là auront la possibilité de vérifier en deux clics si tous les outils dont parle cet article sont à jour.

J'en vois certains qui sourient... doivent être sur linux !

Avatar de Grimly_old Grimly_old
http://www.developpez.com
Membre éclairé
le 30/07/2012 14:08
Je ne comprends pas. La quasi totalité des failles de nos programmes viennent du(des) développeur(s) derrière ce même programme (sans vouloir offenser personne, je n'en suis ni à ma première et surement pas à ma dernière faute). En quoi Oracle a le devoir de maintenir la sécurité de ce qu'il ne maîtrise pas ?

Après si il y a un bug lié directement à GlassFish, la JVM, ou tout autre partie délivrée par Oracle, pourquoi pas. Mais après ces attaques en profondeur ça me dépasse un peu.

En bref, ce n'est pas parce que j'ai pu écrire ma propre faille en Java (et parfois c'est voulu, qui sais) que Java y perd en sécurité.
Avatar de zeyr2mejetrem zeyr2mejetrem
http://www.developpez.com
Membre Expert
le 30/07/2012 14:15
Citation Envoyé par AsteroHache  Voir le message
J'en vois certains qui sourient... doivent être sur linux !

Attention quand même. J'ai connu un intervenant de la DCRI qui m'expliquait que lors de leurs tests d'intrusion, les équipes de faux "Chapeaux noirs" étaient content quand ils apprenaient que la cible était sous Linux ... car ils savaient qu'ils rentreraient tôt le soir

Je ne dis pas que Linux n'est pas sûr.
Ce que je dis c'est qu'à force de dire "Sous Linux les virus n'existent pas" ou "Je n'ai jamais été infecté sous Linux", on donne à la plèbe une fausse impression de sécurité.
Du coup beaucoup d'admin Linux (en PME du moins) ont des uptimes de fou sur leurs serveurs et ne mettent pas à jour quotidiennement les logiciels sécuritairement défaillants notamment Java (Pourquoi faire, Linux est prétendûment indestructible), ce qui crée une voie royale pour les Hackers.

Quelquesoit l'OS, le maillon faible est souvent entre la chaise et le clavier
Avatar de Uther Uther
http://www.developpez.com
Expert Confirmé Sénior
le 30/07/2012 14:56
Citation Envoyé par Grimly  Voir le message
Je ne comprends pas. La quasi totalité des failles de nos programmes viennent du(des) développeur(s) derrière ce même programme (sans vouloir offenser personne, je n'en suis ni à ma première et surement pas à ma dernière faute). En quoi Oracle a le devoir de maintenir la sécurité de ce qu'il ne maîtrise pas ?

Tu as mal compris : bien sur que si l'utilisateur accepte d'exécuter du code dangereux c'est entièrement sa faute, mais en l’occurrence, on parle des failles de sécurité dans le plugin Java, un code sur lequel Oracle a entièrement la maitrise.
Avatar de AsteroHache AsteroHache
http://www.developpez.com

le 30/07/2012 15:09
Citation Envoyé par zeyr2mejetrem  Voir le message
Attention quand même.... on donne à la plèbe une fausse impression de sécurité.

En effet, on n'est jamais à l'abri quel que soit l'OS.
Quelquesoit l'OS, le maillon faible est souvent entre la chaise et le clavier

+1
Mais quand on voit ce qu'il faut faire dans ce cas de java, c'est aussi normal pour l'utilisateur novice de ne pas savoir...

De plus, quand on installe une maj, la java 7 update 5, elle est censée désinstaller les autres maj antérieures. Cela a été le cas sur ma machine.
Mais on observe, pour celui qui sait qu'il faut aller voir, que ce n'est pas toujours le cas.

Perso, je ne vise personne, je ne sais à qui cela incombe, mais je constate en effet...
Je reprends cette signature:
Si tu ne sais pas faire, apprends. Si tu fais, fais bien. Si tu sais bien faire, enseigne.
Mieux vaut paraître stupide quelques temps que rester stupide toute sa vie.

les ignorants sur la chaise n'attendent que cela je crois, apprendre.
reste à ne pas avoir la flemme de faire.
Et ensuite, en effet, de faire passer le mot.
C'est peut-être sur ce dernier point que l'éditeur pourrait faire quelque chose...
Et je ne pense pas que cette page soit suffisante:
http://www.java.com/fr/download/faq/...erversions.xml
Pour la simple et bonne raison que 99 % ne l'ont pas lue...
Bon après, si on ne se retrouve pas avec le virus codeur de windows, ni avec une machine bot, ni avec un sniffeur de frappe sur le clavier, c'est pas si grave, y'a pas mort d'hommes...
Avatar de zeyr2mejetrem zeyr2mejetrem
http://www.developpez.com
Membre Expert
le 30/07/2012 15:35
Citation Envoyé par AsteroHache  Voir le message
Et je ne pense pas que cette page soit suffisante:
http://www.java.com/fr/download/faq/...erversions.xml
Pour la simple et bonne raison que 99 % ne l'ont pas lue...

On tombe sur un autre problème, celui de la responsabilité.
Beaucoup d'entreprises réfléchissent désormais en terme de "Comment je peux me couvrir pour me dégager de toute responsabilité en cas de problème ?", plutôt qu'en terme de "Comment faire pour faire de mes utilisateurs des personnes avertis qui éviteront les problèmes ?"

La logique sous-jacente tient pour moi en 2 faits:
- Il est moins cher de blinder des CGU que de "former" ses utilisateurs.
- Beaucoup d'utilisateurs ne cherchent pas ni ne veulent savoir. (C'est un peu le syndrôme du meuble Ikea ... une notice est fournie mais une majorité de gens ne prennent pas la peine de la lire puis se plaignent que "C'est tout un foutoir pour monter ce meuble, j'ai mis 3 heures à deviner comment on la monte !")
Avatar de Uther Uther
http://www.developpez.com
Expert Confirmé Sénior
le 30/07/2012 15:37
Citation Envoyé par AsteroHache  Voir le message
Mais quand on voit ce qu'il faut faire dans ce cas de java, c'est aussi normal pour l'utilisateur novice de ne pas savoir...

De plus, quand on installe une maj, la java 7 update 5, elle est censée désinstaller les autres maj antérieures. Cela a été le cas sur ma machine.
Mais on observe, pour celui qui sait qu'il faut aller voir, que ce n'est pas toujours le cas.

Avoir une vielle version installée en plus de la plus récente ne pose pas de problème de sécurité vu que seule la dernière JVM installée est utilisée par le navigateur. Au pire, c'est de l'espace disque gaspillé.
Pour utiliser une ancienne JVM, il faut qu'elle soit démarré par l’application qui y fait appel, et c'est donc fait en connaissance de cause.
Avatar de AsteroHache AsteroHache
http://www.developpez.com

le 30/07/2012 15:55
La logique sous-jacente tient pour moi en 2 faits:
- Il est moins cher de blinder des CGU
- Beaucoup d'utilisateurs ne cherchent pas ni ne veulent savoir.

Un peu d'accord avec cela, mais faut aussi avouer que ce n'est pas simple de mettre à jour une machine, quand on est novice, et pas passionné par la chose...

Citation Envoyé par Uther  Voir le message
Avoir une vielle version installée en plus de la plus récente ne pose pas de problème de sécurité

alors, je ne savais pas cela, et croyais justement le contraire.
Si on reprend la page du dessus, il est dit cela:
L'accumulation d'anciennes versions non prises en charge de Java sur votre système présente un risque important pour la sécurité.

Donc si on suit ce que dit le site éditeur, il y a bien des risques quand même...

Perso, je ne suis pas assez calé pour affirmer quoique ce soit.

Je mets à jour et nettoie, pour ne pas prendre de risques donc.
Avatar de Uther Uther
http://www.developpez.com
Expert Confirmé Sénior
le 30/07/2012 16:18
Citation Envoyé par AsteroHache
Si on reprend la page du dessus, il est dit cela:
L'accumulation d'anciennes versions non prises en charge de Java sur votre système présente un risque important pour la sécurité.

Donc si on suit ce que dit le site éditeur, il y a bien des risques quand même...

C'est juste que le spécialiste parle de la partie la plus visible des updates Java pour essayer de mieux mettre en valeur le problème, mais c'est faux : le navigateur utilise la dernière version du JRE installée.

Les anciennes versions ne peuvent plus être utilisées que par des applications locales qui y font appel directement.
Avatar de zeyr2mejetrem zeyr2mejetrem
http://www.developpez.com
Membre Expert
le 30/07/2012 16:29
Citation Envoyé par Uther  Voir le message
C'est juste que le spécialiste fait du zèle pour essayer de mieux mettre en valeur le problème, mais c'est faux : le navigateur utilise la dernière version du JRE installée.

Les anciennes versions ne peuvent plus être utilisées que par des applications locales qui y font appel directement.

Ok pour le navigateur, il utilise souvent en effet la dernière version du runtime.

Cependant je ne sais pas si la majorité des attaques portent sur les applets (quoique).
Mais côté serveur (ex: Container de Servlets/EJB, Applications avec RMI ou connexions Inter JVM autre ?)

Cela me paraitrait plus facile d'attaquer par là car souvent une application est "désignée" pour une version de Java et on n'a toujours un peu les miquettes quand on change de version majeure ... De plus les Webapps "Out-of-the-box" ne manquent pas (ex: Jira, Hudson, Mantis ...) et souvent 1 version de l'appli implique une version de la JRE.
Offres d'emploi IT
Consultant Industrie et Services H/F
CDI
CSC - Ile de France - La Défense
Parue le 20/09/2014
Start up en phase de levée de fond recherche son futur CTO (H/F)
CDI
ClaraVista - Ile de France - Paris (75002)
Parue le 11/09/2014
Stagiaire développeur sharepoint h/f
CDI
MCNEXT - Ile de France - Paris (75002)
Parue le 01/09/2014

Voir plus d'offres Voir la carte des offres IT
 
 
 
 
Partenaires

PlanetHoster
Ikoula