IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Sécurité : les entreprises continuent à utiliser les versions vulnérables de Java et de Flash
D'après une récente étude de Websense

Le , par Cedric Chevalier
20 commentaires

151PARTAGES

2  0 
Les entreprises continuent d’utiliser les versions vulnérables du JDK et de Flash
d’après une récente étude de Websense

Java est une technologie très populaire auprès de nombreux utilisateurs et largement diffusée dans le milieu professionnel. Cependant, on note une forte tendance chez ses utilisateurs à ne pas installer les correctifs disponibles comme le témoigne la récente étude de Websense.

Avec une présence de pratiquement 83,86 % en entreprise (au sein des navigateurs via les plugins et les extensions), seulement 19 % des ordinateurs exécutent la version à jour du JDK (7u25).

Fait plus surprenant encore, le JDK 6 continue d’être actif en entreprise avec une présence estimée à plus de 40 % (notons cependant que cette présence était estimée à 70 % en début d’année). Précisons au passage que la fin du support pour la technologie s’est faite en avril 2013.

Par conséquent, la plupart des entreprises sont exposées à de nouveaux exploits visant les nouvelles vulnérabilités CVE-2013-2473 et CVE-2013-2463.

Les pirates informatiques sont au courant du fait que beaucoup d’entreprises utilisent des versions du JDK vulnérables. Websense a noté une augmentation du nombre d’hôtes exécutant le logiciel Neutrino Kit exploit dans les deux premières semaines du mois d’août. Pour la firme, ceci pourrait être dû à l’addition au logiciel du code pour exploiter ces deux nouvelles vulnérabilités.

Par ailleurs, la technologie Flash (Adobe Flash) constitue aussi un sujet à problème. La plupart des internautes ont des versions de Flash obsolètes. Les rapports de Websense stipulent qu’environ 25 % des utilisateurs exécutent un logiciel Flash vieux de 6 mois, 20 % d’un an et 11 % de deux ans.

Source : blog Websense

Et vous ?

Exécutez-vous une version vulnérable des logiciels JDK et Flash ?

Qu'est-ce qui peut expliquer cette tendance des utilisateurs à ne pas installer les correctifs du JDK disponibles ?
Vous avez lu gratuitement 10 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.

Une erreur dans cette actualité ? Signalez-nous-la !

20 commentaires
Commenter Signaler un problème
coolspot
Avatar de coolspot
Membre éprouvé https://www.developpez.com
Le 11/09/2013 à 18:11
Bah le problème de ce genre de truc c'est que Windows est mal conçu et ne possèdent pas de gestion centralisé des application comme pour GNU/Linux par exemple qui s'occupe des mises à jours de sécurité tout seul.

La tu m'étonne qu'il y est pas de mises à jour quand c'est à l'utilisateur d'aller checker et vérifier qu'il a bien la dernière version.
2  0 
sneb5757
Avatar de sneb5757
Membre actif https://www.developpez.com
Le 11/09/2013 à 13:56
A mon avis ce n'est pas qu'un problème d'éducation.

Il y'a parfois des logiciels critiquent qui nécéssitent l'utilisation de la JRE 1.6 . Ce n'est pas toujours possible de faire un update.
1  0 
gangsoleil
Avatar de gangsoleil
Modérateur https://www.developpez.com
Le 12/09/2013 à 15:16
Bonjour,

Je ne sais pas ce qu'il en est de Flash, mais les JVM java ne sont pas backward compatibles, c'est a dire que les dernieres versions ne permettent pas forcement de faire tourner des programmes ecrits il y a 10 ans.

Alors bien sur, pour un programme de 2 000 lignes, c'est pas un soucis, il "suffit" de faire le remplacement. Mais pour un code de plusieurs millions de ligne, ce n'est simplement pas possible. Donc on garde de vieilles versions, et on remercie SUN et Oracle.
1  0 
mangasource
Avatar de mangasource
Membre habitué https://www.developpez.com
Le 11/09/2013 à 12:17
Exécutez vous une version vulnérable des logiciels JDK et Flash ?
Pour ce qui est de JDK, je ne l'utilise pas, donc au moins !
Java est à jour.

Pour Flash, je vérifie de façon hebdomadaire les mises à jour disponibles (comme pour tous mes softs à vrai dire)

Qu'est ce qui peut expliquer cette tendance des utilisateurs à ne pas installer les correctifs du JDK disponibles ?
Beaucoup d'utilisateurs ne sont pas "éduqués" à suivre l'évolution des logiciels qu'ils utilisent. Les correctifs ne sont donc pas installés.
Il me semblerait "fou" que des personnes le fassent volontairement, donc ce sont bien les utilisateurs qu'il faudrait éduquer pour qu'ils fassent une veille des correctifs disponibles.

Et bien sûr vérifier l'activation des MAJs auto de certains softs (Flash, Java, WUpdate, Etc etc)
0  0 
mangasource
Avatar de mangasource
Membre habitué https://www.developpez.com
Le 11/09/2013 à 14:00
Effectivement, mais il faudrait alors que ces-dits logiciels mettent à jour leurs spft en utilisant une version plus récente de JRE, non ?

PS : Je ne m'y connais que très peu sur le sujet, je n’émets que des idées/hypothèses
0  0 
sneb5757
Avatar de sneb5757
Membre actif https://www.developpez.com
Le 11/09/2013 à 14:12
Si mais c'est pas toujours simple. Surtout quand tu as pas la main sur le développement de ce logiciel. L'éditeur devrait mettre à jour mais ça peut prendre du temps.
0  0 
mangasource
Avatar de mangasource
Membre habitué https://www.developpez.com
Le 11/09/2013 à 14:19
C'est vrai que ça demande du temps, donc on peut dire qu'il y a une marge qui rentre dans ce cas de figure. Mais il reste néanmoins, pour certains autres, qu'une certaine "éducation" reste à faire sur la MAJ de ses softs/OS
0  0 
sneb5757
Avatar de sneb5757
Membre actif https://www.developpez.com
Le 11/09/2013 à 14:23
Oui je suis d'accord. Je voulais juste souligner que ça ne devait pas être la seule raison.

Bon le problème d'éducation sécu doit représenté une bonne part des utilisateur encore sous java 6 inférieur ou égal à update 45
0  0 
Carhiboux
Avatar de Carhiboux
Expert éminent sénior https://www.developpez.com
Le 11/09/2013 à 16:31
Quand ton client est en Java 5 et ne veut pas migrer, tu es bien obligé d'avoir la JDK qui va bien.

Je pense que dans les entreprises, ce retard est plus dicté par des impératifs clients que par une réelle méconnaissance du danger.

Par contre, chez les particuliers, c'est clairement plus du domaine de la méconnaissance. Les gens ne savent pas trop ce qu'est Java... donc pourquoi aller mettre à jour un truc obscur que personne ne sait ce qu'il fait? Et si c'était un virus???

Suffit de regarder les débats d'un niveau édifiant d'un point de vue connaissance basique de l'outil informatique qui ont suivi les élections électroniques cette année : les législatives pour les français de l'étranger (notamment l’Amérique du nord je crois), et le vote pour la primaire UMP à Paris.

Dans les deux cas, applis J2E. Et dans les deux cas, on a vu plein de gens qui ne comprenaient pas qu'ils leur fallait une version pas trop ancienne de Java pour que cela marche ou une version de java installée tout court. Et dans les deux cas on a vu les JT parler de bug java. Non, c'est pas un bug, c'est juste que tu essayes d'éplucher une patate avec une brosse à dent. Ca marche pas trop bien.
0  0 
mangasource
Avatar de mangasource
Membre habitué https://www.developpez.com
Le 11/09/2013 à 16:34
J'aime bien la comparaison x)

C'est vrai que cela s'applique plus aux particuliers .. Quand j'entends "Non mais j'ai Oracle" quand je demande a une personne si elle à JAVA à jour, je ne sais pas trop quoi répondre ...

Ou alors, ils ignorent tout simplement les MAJs, même si celles-ci se font automatiquement ...
0  0 
Commenter Signaler un problème