94 % d'utilisateurs de Java seraient exposés à des exploits
75 % exécuteraient un JRE vieux, indique un rapport de Websense

Les rubriques (actu, forums, tutos) de Développez
Tags
Réseaux sociaux


 Discussion forum

Retrouvez le dossier complet de la rédaction
Sur le même sujet
Le , par Stéphane le calme, Chroniqueur Actualités
Mise à jour du 27/03/2013

94 % des utilisateurs de Java seraient exposés à des exploits,
75 % exécutent un ancien JRE, indique un rapport de Websense

Avec les nombreuses failles qui touchent l’écosystème Java, les entreprises utilisant les applications Java seraient exposées à des attaques de pirates.

En effet, il est rapporté par Websense que 94 % des terminaux faisant usage d’un logiciel Java sont vulnérables à un exploit au minimum sur le JRE.

L’entreprise note cependant que bon nombre de ceux-ci exécuteraient une version dépassée de la plateforme Java. En effet, trois machines sur quatre utiliseraient un JRE vieux d’au moins six mois, selon la même enquête. Plus de 50 % accuseraient un retard de deux ans sur les mises à jour des correctifs de sécurité.

Depuis des mois déjà, les utilisateurs ont été invités à désactiver Java de leur navigateur à cause des problèmes relatifs à sa sécurité.

Pour les entreprises qui ont l’impératif d’utiliser Java sur un site en particulier, il est conseillé d’utiliser le JRE uniquement pour lui et de le désactiver ailleurs.

Oracle recommande aux utilisateurs de Java 1.6 de migrer vers le JDK 7 pour recevoir des correctifs de sécurité (la version 1.6 étant en fin de cycle avec la sortie de sa mise à jour 43).

Il faut noter par ailleurs que cette version dispose de nouvelles options de sécurité permettant que les applets non signés génèrent toujours un message d’avertissement à l’utilisateur avant d’être exécutés.

Ces données sont à prendre avec modération, puisqu’elles ne concernent que les applications contrôlées par le service Websense. Données qui ont conduit au diagramme ci-dessous.


Source : Websense

Et vous ?

Que pensez-vous de cette étude ? Les utilisateurs ne sont-ils pas les premiers à s’exposer en n’appliquant pas les mises à jour ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de gbdivers gbdivers
http://www.developpez.com
Inactif
le 27/03/2013 15:59
Tiens, il faudrait que je vérifie sur l'ordi du boulot avec Windows 2000 la version du JRE... La dernière version est compatible Windows 2000 ? (bon, d'un autre côté, j'ai pas les droits admin dessus, je pourrais pas faire la mise à jour)
Avatar de tchize_ tchize_
http://www.developpez.com
Expert Confirmé Sénior
le 27/03/2013 16:03
Citation Envoyé par gouessej  Voir le message
Cela sera un obstacle de plus pour les développeurs de jeux vidéo indépendants qui n'ont pas nécessairement les moyens de payer plusieurs centaines de dollars par an pour un certificat dit de confiance.

Si c'est une applet -> T'as intérêt à avoir une bonne raison de demander à sortir de la sandbox. Si ton problème est le stockage (parties sauvées), direction jnlp, qui fourni une api d'accès aux fichiers sécurisées ne nécessitant pas de signature (tu n'a accès qu'au fichiers appartenant à ton application en fait)
Si c'est une application indépendante -> Ben c'est comme tout les reste des jeux que t'installe sur ta machine, t'as pas besoin de certificats pour ça

Quand à l'argument de prix pour le développeur indépendant: Je suis désolé, mais si le développement de jeu java est ton core buisness, tu met les moyens pour faire fonctionner ton buisness: Lacher 160€ par an, c'est rien en frais de toutes façons à coté de la bécane à 700€, de l'hébergement sur serveur dédié à 30€ / mois, de l'adsl à 30€/ mois

Et si vraiment tu continue à trouver ça trop cher, tu te trouve 3 autres auteurs d'apps dans le même état que toi et vous faites une association qui achète ce certificat ensemble.
Avatar de tchize_ tchize_
http://www.developpez.com
Expert Confirmé Sénior
le 27/03/2013 16:10
Citation Envoyé par gbdivers  Voir le message
La dernière version est compatible Windows 2000 ?

Perdu!

Fallait investir dans du solaris

Maintenant, ce sont les version "supportées des OS", pour les autres => faut essayer ^^
Avatar de fregolo52 fregolo52
http://www.developpez.com
Expert Confirmé Sénior
le 27/03/2013 16:56
Je ne vois pas la version 1.5 dans le camembert!

Le pire que j'ai vu c'est des applis Orable Forms avec jinitiator (donc JRE 1.3 like) sous XP SP2.

Ca fait peur ! Et si je vous dis que c'est la Police d'un pays qui a cette config, c'est inquiétant, non ? ,

Ah oui, j'ai oublié de dire quand : il y a 2ans. Donc, aujourd'hui rien n'a dû changer.
Avatar de Philippe Bastiani Philippe Bastiani
http://www.developpez.com
Membre Expert
le 27/03/2013 21:08
Citation Envoyé par fregolo52  Voir le message
Le pire que j'ai vu c'est des applis Orable Forms avec jinitiator (donc JRE 1.3 like) sous XP SP2.

Sauf erreur, jinitiator ne se substitue pas à la JRE... elle n'exécute donc pas du code venant de l'Internet (applet) ! Ce qui devrait te rassurer ;-)

a+
Philippe
Avatar de berceker united berceker united
http://www.developpez.com
Expert Confirmé
le 27/03/2013 21:27
Depuis que je l'ai désinstallé, je me suis jamais retrouvé dans une situation ou je devais l'installer pour utiliser une quelconque application ou accéder à une fonctionnalité d'un site. D'un coté, je m'aventure pas loin coté internet. Mais je viens de me rendre compte que je pouvais m'en passer et que je suis pas emmerdé par ces mise à jour à répétition. La question se pose. Est-ce que l'utilisateur lambda a vraiment besoin d'une JVM pour aller sur Web ?
Avatar de Philippe Bastiani Philippe Bastiani
http://www.developpez.com
Membre Expert
le 27/03/2013 21:41
Citation Envoyé par berceker united  Voir le message
Depuis que je l'ai désinstallé, je me suis jamais retrouvé dans une situation ou je devais l'installer pour utiliser une quelconque application ou accéder à une fonctionnalité d'un site. D'un coté, je m'aventure pas loin coté internet. Mais je viens de me rendre compte que je pouvais m'en passer et que je suis pas emmerdé par ces mise à jour à répétition. La question se pose. Est-ce que l'utilisateur lambda a vraiment besoin d'une JVM pour aller sur Web ?

Non ! Sauf, pour remplir sa feuille d'imposition
Avatar de tchize_ tchize_
http://www.developpez.com
Expert Confirmé Sénior
le 27/03/2013 23:25
+1 pour le non, l'utilisateur lambda n'en a pas besoin. Je ne comprends d'ailleurs toujours pas pourquoi le plugin n'est pas distribué à part
Avatar de _skip _skip
http://www.developpez.com
Expert Confirmé Sénior
le 28/03/2013 13:08
Citation Envoyé par tchize_  Voir le message
+1 pour le non, l'utilisateur lambda n'en a pas besoin. Je ne comprends d'ailleurs toujours pas pourquoi le plugin n'est pas distribué à part

Sans doute que ça faisait partie d'une stratégie de promotion de java, la base d'un discours du style "70% des machines sont équipées".

Maintenant dans les faits, à mon sens les applications JNLP ou les applets sont plus très intéressantes pour les gros sites tout public. Par contre pour certaines applications multi-utilisateurs en entreprise c'est intéressant. Et à ce moment là il serait effectivement envisageable de devoir installer un plug-ins et 2 ou 3 trucs à part. Quant à la sécurité? Si on écrit et consomme ses propres applications, pas trop de soucis...
Avatar de berceker united berceker united
http://www.developpez.com
Expert Confirmé
le 28/03/2013 13:22
Citation Envoyé par Philippe Bastiani  Voir le message
Non ! Sauf, pour remplir sa feuille d'imposition

En effet, galere parce que c'est pour bientôt.
Avatar de Uther Uther
http://www.developpez.com
Expert Confirmé Sénior
le 28/03/2013 17:45
Il me semble bien que l'applet java n'est plus nécessaire depuis l'année dernière.
Avatar de Cedric Chevalier Cedric Chevalier
http://www.developpez.com
Chroniqueur Actualités
le 24/04/2013 16:35
Java 7 : découverte d’une faille de sécurité dans l’API Reflector
permettant de contourner la sécurité Sandbox de la plateforme

Cela fait à peine quelques jours qu’un patch de sécurité pour Java 7 (Java Update 21) a été publié par Oracle, qu’une nouvelle faille de sécurité a été découverte pour la plateforme.

La faille concerne l’« API Reflector » et sa découverte a été réalisée par Adam Gowdiak, CEO de l’entreprise Security Exploration.

La faille rend vulnérables les systèmes exécutant Java 7. Même ceux qui exécutent la toute récente version estampillée Java 1.7.0_21-b11 ne sont pas épargnés. Correctement exploitée, elle permet à un hacker d’outrepasser la sécurité « sandbox » de Java. Cependant, une action de l'utilisateur est requise dans un scénario web pour le succès d’une attaque initiée par un hacker.




Le plus inquiétant encore, c’est que l’exploitation de la faille ne se limite pas uniquement à JDK 7. En effet, même la version serveur du JRE est concernée. Pour le comment de la chose, Adam Gowdiak donne une liste d’API et de composants rendant possible l’exécution de code arbitraire dans l’application serveur. C’est ainsi que nous avons : RMI et LDAP, l’implémentation de l’interpréteur XSLT de SUN, diverses implémentations SQL.

Par ailleurs, on note que la faille avait déjà été reportée à Oracle l’année passée. Surpris que celle-ci soit de nouveau présente dans les produits Java, Adam Gowdiak conclut qu’Oracle s’est concentré sur le correctif des mesures de sécurité liées aux appels de fonction de l’« API Reflector ».

Source : Seclist
Avatar de rt15 rt15
http://www.developpez.com
Membre éclairé
le 24/04/2013 16:53
Il faut que l'utilisateur accepte d'exécuter du code dangereux pour que cette "faille" soit exploitable.
a user needs to accept the risk of executing a potentially malicious Java application when a security warning window is displayed

Donc si l'utilisateur est assez bête pour ça il sera aussi suffisamment bête pour autoriser l'applet à nettoyer son disque dur (Ou surtout installer dieu sait quoi dessus).

Bref, cette "faille" est assez anecdotique comparativement à celles qui sorte de la sandbox sans en demander l’autorisation à l'utilisateur (Et visiblement il y en a qui se donne à coeur joie).
Avatar de GLDavid GLDavid
http://www.developpez.com
Expert Confirmé
le 25/04/2013 11:30
Bonjour

Je vais peut être faire le nostalgique, la mauvaise langue ou le pinailleur...
Mais il me semble que l'on parle beaucoup (trop ?) des failles de sécurité depuis l'ère Oracle de Java.
Attention, je ne dis pas que ces problèmes n'existaient pas chez Sun, ils existent bel et bien.
Serait-ce dû au fait que Java s'est installé dans à peu près toutes les niches possibles (dixit la propagande)? Ou est-ce dû au fait que maintenant que c'est Oracle qui "gère" Java, les gens seraient devenu plus méfiants?
Au final, OpenJava ne serait-il pas une alternative crédible?

@++
Avatar de rt15 rt15
http://www.developpez.com
Membre éclairé
le 25/04/2013 11:48
A la base le problème est que si quelqu'un veut infecter un max d'utilisateur via une page web, il a surtout trois choix:
javascript/html
java
flash

Les failles "javascript/html" dépendent du navigateur.
Flash semble assez béton, conçut à la base pour du rendu uniquement, donc bien sandboxé tôt.

Reste java et sa jvm très compliqué, généraliste, très répandue, souvent pas très à jour.

Donc pour infecter quelqu'un de passage sur une page web, chercher des failles dans java semble tout à fait indiqué.

Que java soit plus ou moins open ou gérer par le saint père, ça ne changera pas énormément de chose au problème.
La solution est que les navigateurs bloque plus les applet java, même ceux ne demandant pas de droits, et que les messages d'avertissements sur ceux demandant des droits fassent plus peur.
Offres d'emploi IT
Développeur php h/f
CDD
La BC - Nord Pas-de-Calais - Somain (59490)
Parue le 28/08/2014
Administrateur système/réseau junior
CDI
Mobiskill - Ile de France - Paris (75000)
Parue le 11/08/2014
Technicien fibre optique d3 (h/f)
CDI
Links IT SERVICES - Midi Pyrénées - Toulouse (31000)
Parue le 05/08/2014

Voir plus d'offres Voir la carte des offres IT
 
 
 
 
Partenaires

PlanetHoster
Ikoula