Java : plus de la moitié des entreprises ont plus de 50 versions de la plateforme installées
Une aubaine pour les pirates ?

Le , par Hinault Romaric, Responsable Actualités
Java fait actuellement face à une faille de sécurité critique dans l’API Reflector permettant de réussir des attaques basiques de plus de 10 ans.

Parallèlement à la découverte de cette nouvelle vulnérabilité, le cabinet de sécurité Bit9 a mené une enquête sur Java et ses vulnérabilités.

Les conclusions sont alarmantes. Les risques de sécurité liés à l’utilisation de la plateforme de développement populaire sont à partager entre Oracle et les utilisateurs.

Java est tellement omniprésent dans l’écosystème des entreprises, qui sont extrêmement inefficaces dans la gestion des mises à jour et la suppression des anciennes versions, que celles-ci sont des proies faciles pour les pirates.

L’enquête a permis de constater que plus de la moitié des organisations de l’étude avaient plus de 50 versions de Java installées sur leurs équipements. 5 % de ces entreprises auraient plus de 100 versions de Java installées.




La principale cause de cette multiplicité de versions sur un terminal serait liée à la mauvaise compréhension des termes « mise à jour » et « mise à niveau ». « Au cours des 15 dernières années, les administrateurs ont été soumis à la perception erronée des mises à jour. On leur a dit que pour améliorer la sécurité, ils doivent en permanence et de manière agressive déployer les mises à jour Java », explique Harry Sverdlove, directeur de Bit9.

D’après Bit9, le processus de publication des mises à jour Java n’apporte pas la sécurité attendue, car les versions affectées par les failles corrigées ne sont pas supprimées. Conséquence : les équipements des entreprises restent toujours hautement vulnérables.

La version la plus populaire de Java (Java 6 Update 20), encore utilisée par 82 % des entreprises de l’étude, dispose de près de 96 vulnérabilités, selon Bit9, qui souligne que celles-ci sont étiquetées comme de « gravité élevée ».

L’enquête de Bit9 est basée sur une analyse des statistiques de déploiement de Java sur environ 1 million de systèmes des centaines d’entreprises à travers le monde.

Cette étude rejoint celle de WebSence publiée en mars dernier, qui concluait que 94 % des terminaux utilisant Java sont vulnérables à un exploit au minimum sur le JRE. Selon WebSence, trois machines sur quatre utiliseraient un JRE vieux d’au moins six mois.

Source : Bit9

Et vous ?

Qu’en pensez-vous ? Plusieurs versions de Java sont-elles installées sur les systèmes de votre entreprise ?

Les entreprises ne sont-elles pas les premières à s’exposer par un manque de gestion efficace des mises à jour ?
Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Voïvode Voïvode
http://www.developpez.com
Membre Expert
le 22/07/2013 13:37
Le problème c'est que, pendant longtemps, les nouvelles updates de Java ne supprimaient pas les anciennes. Je n'ai jamais compris ce comportement, l'API ne change pas d'une update à l'autre et donc la compatibilité entre deux updates est souvent totale (sauf quelques très rares exceptions comme Java 6 update 10).

Le système de mise à jour devrait centraliser la gestion des versions. Par exemple : un canal current qui ne conserve que la dernière version et des canaux legacy qui peuvent être installés pour des besoins de compatibilité (accompagnés des mises en garde qui s'imposent).
Avatar de Etre_Libre Etre_Libre
http://www.developpez.com
Membre chevronné
le 22/07/2013 15:39
Notons aussi que pour l'instant, les mises à jour Java ne sont toujours pas automatiques ni silencieuses, elles n'arrêtent pas de demander à l'utilisateur (+ toolbar de publicité) et généralement les gens cliquent sur "plus tard".

Malheureusement Flash a un peu régressé à ce niveau là : bien que les mises à jour mineures semblent pouvoir être automatiques et silencieuses, dès qu'il y a une nouvelle version "majeure" (souvent ces temps-ci) eh bien ça demande à l'utilisateur...

Néanmoins, Adobe Reader me semble mieux conçu pour ça : une fois qu'on a bien Adobe Reader 11, les mises à jour mineures (pas fréquentes) s'installent toutes seules.

Enfin, pour en revenir à Java : beaucoup de gens ne savent pas à quoi il sert, et la plupart n'ont aucune application le nécessitant : maintenant je l'enlève de beaucoup d'ordinateurs.
Avatar de Philippe Bastiani Philippe Bastiani
http://www.developpez.com
Membre émérite
le 22/07/2013 19:37
Le fait, qu'il y ait plusierus JREs installées n'indique aucunément que plusiieurs JRE soient exploitées sur un même poste de travail... une seule JRE n'est active par défaut... et, à moins d'avoir des scripts qui choisissent une version particulière c'est la version par défaut qui est lancée ! Par contre, on peut s'exposer, à une application malveillante qui changerait ce réglage de la JRE active dans l'OS hôte ! mais bon...

a+
Philippe
Avatar de tchize_ tchize_
http://www.developpez.com
Expert Confirmé Sénior
le 23/07/2013 0:19
Citation Envoyé par Philippe Bastiani  Voir le message
et, à moins d'avoir des scripts qui choisissent une version particulière c'est la version par défaut qui est lancée ! Par contre, on peut s'exposer, à une application malveillante qui changerait ce réglage de la JRE active dans l'OS hôte ! mais bon...

a+
Philippe

Les applications javawebstart peuvent préciser quelle version, jusqu'au numéro mineur, il faut utiliser. Et webstart, comme un gr(l)and l'installe joyeusement.... Je suis curieux de voir si on peux forcer webstart à installer une ancienne jvm avec des trous de sécurité...
Offres d'emploi IT
Ingénieur études et développement web/hybris h/f
CDI
Galeries Lafayette - France - Paris (75000)
Parue le 26/06/2014
Responsable Délivrabilité h/f
CDI
Experis - Rhône Alpes - Lyon (69000)
Parue le 01/07/2014
Ingénieur Java J2EE(H/F)
CDI
Opensourcing - Ile de France - Paris (75000)
Parue le 07/07/2014

Voir plus d'offres Voir la carte des offres IT
 
 
 
 
Partenaires

PlanetHoster
Ikoula