Sécurité : les entreprises continuent à utiliser les versions vulnérables de Java et de Flash
D'après une récente étude de Websense

Le , par Cedric Chevalier, Expert éminent sénior
Java est une technologie très populaire auprès de nombreux utilisateurs et largement diffusée dans le milieu professionnel. Cependant, on note une forte tendance chez ses utilisateurs à ne pas installer les correctifs disponibles comme le témoigne la récente étude de Websense.

Avec une présence de pratiquement 83,86 % en entreprise (au sein des navigateurs via les plugins et les extensions), seulement 19 % des ordinateurs exécutent la version à jour du JDK (7u25).

Fait plus surprenant encore, le JDK 6 continue d’être actif en entreprise avec une présence estimée à plus de 40 % (notons cependant que cette présence était estimée à 70 % en début d’année). Précisons au passage que la fin du support pour la technologie s’est faite en avril 2013.

Par conséquent, la plupart des entreprises sont exposées à de nouveaux exploits visant les nouvelles vulnérabilités CVE-2013-2473 et CVE-2013-2463.

Les pirates informatiques sont au courant du fait que beaucoup d’entreprises utilisent des versions du JDK vulnérables. Websense a noté une augmentation du nombre d’hôtes exécutant le logiciel Neutrino Kit exploit dans les deux premières semaines du mois d’août. Pour la firme, ceci pourrait être dû à l’addition au logiciel du code pour exploiter ces deux nouvelles vulnérabilités.

Par ailleurs, la technologie Flash (Adobe Flash) constitue aussi un sujet à problème. La plupart des internautes ont des versions de Flash obsolètes. Les rapports de Websense stipulent qu’environ 25 % des utilisateurs exécutent un logiciel Flash vieux de 6 mois, 20 % d’un an et 11 % de deux ans.

Source : blog Websense

Et vous ?

Exécutez-vous une version vulnérable des logiciels JDK et Flash ?

Qu'est-ce qui peut expliquer cette tendance des utilisateurs à ne pas installer les correctifs du JDK disponibles ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de mangasource mangasource - Membre habitué http://www.developpez.com
le 11/09/2013 à 12:17
Exécutez vous une version vulnérable des logiciels JDK et Flash ?

Pour ce qui est de JDK, je ne l'utilise pas, donc au moins !
Java est à jour.

Pour Flash, je vérifie de façon hebdomadaire les mises à jour disponibles (comme pour tous mes softs à vrai dire)

Qu'est ce qui peut expliquer cette tendance des utilisateurs à ne pas installer les correctifs du JDK disponibles ?

Beaucoup d'utilisateurs ne sont pas "éduqués" à suivre l'évolution des logiciels qu'ils utilisent. Les correctifs ne sont donc pas installés.
Il me semblerait "fou" que des personnes le fassent volontairement, donc ce sont bien les utilisateurs qu'il faudrait éduquer pour qu'ils fassent une veille des correctifs disponibles.

Et bien sûr vérifier l'activation des MAJs auto de certains softs (Flash, Java, WUpdate, Etc etc)
Avatar de sneb5757 sneb5757 - Membre actif http://www.developpez.com
le 11/09/2013 à 13:56
A mon avis ce n'est pas qu'un problème d'éducation.

Il y'a parfois des logiciels critiquent qui nécéssitent l'utilisation de la JRE 1.6 . Ce n'est pas toujours possible de faire un update.
Avatar de mangasource mangasource - Membre habitué http://www.developpez.com
le 11/09/2013 à 14:00
Effectivement, mais il faudrait alors que ces-dits logiciels mettent à jour leurs spft en utilisant une version plus récente de JRE, non ?

PS : Je ne m'y connais que très peu sur le sujet, je n’émets que des idées/hypothèses
Avatar de sneb5757 sneb5757 - Membre actif http://www.developpez.com
le 11/09/2013 à 14:12
Si mais c'est pas toujours simple. Surtout quand tu as pas la main sur le développement de ce logiciel. L'éditeur devrait mettre à jour mais ça peut prendre du temps.
Avatar de mangasource mangasource - Membre habitué http://www.developpez.com
le 11/09/2013 à 14:19
C'est vrai que ça demande du temps, donc on peut dire qu'il y a une marge qui rentre dans ce cas de figure. Mais il reste néanmoins, pour certains autres, qu'une certaine "éducation" reste à faire sur la MAJ de ses softs/OS
Avatar de sneb5757 sneb5757 - Membre actif http://www.developpez.com
le 11/09/2013 à 14:23
Oui je suis d'accord. Je voulais juste souligner que ça ne devait pas être la seule raison.

Bon le problème d'éducation sécu doit représenté une bonne part des utilisateur encore sous java 6 inférieur ou égal à update 45
Avatar de Carhiboux Carhiboux - Expert éminent http://www.developpez.com
le 11/09/2013 à 16:31
Quand ton client est en Java 5 et ne veut pas migrer, tu es bien obligé d'avoir la JDK qui va bien.

Je pense que dans les entreprises, ce retard est plus dicté par des impératifs clients que par une réelle méconnaissance du danger.

Par contre, chez les particuliers, c'est clairement plus du domaine de la méconnaissance. Les gens ne savent pas trop ce qu'est Java... donc pourquoi aller mettre à jour un truc obscur que personne ne sait ce qu'il fait? Et si c'était un virus???

Suffit de regarder les débats d'un niveau édifiant d'un point de vue connaissance basique de l'outil informatique qui ont suivi les élections électroniques cette année : les législatives pour les français de l'étranger (notamment l’Amérique du nord je crois), et le vote pour la primaire UMP à Paris.

Dans les deux cas, applis J2E. Et dans les deux cas, on a vu plein de gens qui ne comprenaient pas qu'ils leur fallait une version pas trop ancienne de Java pour que cela marche ou une version de java installée tout court. Et dans les deux cas on a vu les JT parler de bug java. Non, c'est pas un bug, c'est juste que tu essayes d'éplucher une patate avec une brosse à dent. Ca marche pas trop bien.
Avatar de mangasource mangasource - Membre habitué http://www.developpez.com
le 11/09/2013 à 16:34
J'aime bien la comparaison x)

C'est vrai que cela s'applique plus aux particuliers .. Quand j'entends "Non mais j'ai Oracle" quand je demande a une personne si elle à JAVA à jour, je ne sais pas trop quoi répondre ...

Ou alors, ils ignorent tout simplement les MAJs, même si celles-ci se font automatiquement ...
Avatar de coolspot coolspot - Membre confirmé http://www.developpez.com
le 11/09/2013 à 18:11
Bah le problème de ce genre de truc c'est que Windows est mal conçu et ne possèdent pas de gestion centralisé des application comme pour GNU/Linux par exemple qui s'occupe des mises à jours de sécurité tout seul.

La tu m'étonne qu'il y est pas de mises à jour quand c'est à l'utilisateur d'aller checker et vérifier qu'il a bien la dernière version.
Avatar de jiber2fr jiber2fr - Membre à l'essai http://www.developpez.com
le 11/09/2013 à 19:13
Autre explication: dans ma boite les utilisateurs "lambda" n'ont pas les droits pour mettre à jour Java. Ils doivent obligatoirement appeler un admin (pas nécessairement présent sur site), ce qui prend du temps.

Du coup, ceux qui ont Java installé sans en avoir l'utilité ne le mettent pas à jour du tout. Et ceux qui s'en servent en tant qu'applet demandent la mise à jour seulement quand le navigateur bloque le plugin du fait de son obsolescence.
Offres d'emploi IT
Développeur ios pour le netflix de la télé française
Mobiskill - Ile de France - Paris (75000)
Ingénieur Développement Banc de test Labview
FIME - Basse Normandie - Caen (14000)
Ingénieur développement firmware/logiciel embarqué (arm) h/f
CELAD - Provence Alpes Côte d'Azur - Valbonne (06560)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil