Près de la moitié des attaques exploitent des failles de Java
Par défaut de mises à jour, d'après le rapport Security Intelligence de Microsoft
Le 2011-11-30 09:51:50, par Idelways, Expert éminent sénior
Les exploits contre la sécurité informatique durant la première moitié de 2011 étaient en grande partie associés aux vulnérabilités de la famille de produits Java, la technologie maintenue par Oracle.
Le rapport Security Intelligence de Microsoft souligne en effet un record : entre le tiers et la moitié des exploits sont dus à des failles dans l'environnement d'exécution (JRE), la machine virtuelle (JVM) et le JDK.
Oracle ne tarde pas outre mesure à proposer des correctifs ; le problème réside plutôt dans leur propagation, diagnostique Tim Rains, directeur du groupe Trustworthy Computing à Microsoft.
« Plusieurs des failles Java les plus communément exploitées sont anciennes, et avaient eu des mises à jour de sécurité depuis des années ». Ainsi, les solutions utilisées par les attaquants servent longtemps, car les attaquants qui développent, ou rachètent des kits de piratage, continuent d'obtenir un retour positif sur investissement, observe Tim Rains.
À titre d'exemple, la faille la plus exploitée (CVE-2010-0840, touchant le JRE) a été corrigée en mars 2010 et a attendu le dernier trimestre de la même année pour gagner en popularité auprès des hackers malintentionnés.
La problématique est d'autant plus exacerbée que bien souvent, plusieurs versions majeures de l'environnement d'exécution du langage cohabitent sur une même machine (en fonction des solutions qui réclament leur présence).
Le rapport de Microsoft repose sur le nombre d'exploits arrêtés par sa solution antimalware, ayant bloqué 27.5 millions d'attaques sur les 12 derniers mois.
Si Tim Rains préfère insister sur la nécessité des mises à jour auprès des utilisateurs et sysadmins, Chester Wisniewski de Sophos va d'emblée jusqu'à conseiller de se passer de Java : « la plupart des personnes n'utilisent pas Java de nos jours, et ça [ne pas installer Java] réduit la surface d'attaque en provenance d'Internet », affirme-t-il.
Les développeurs Java, le langage de programmation le plus populaire, apprécieront !
Télécharger le rapport
Sources :
Blog officiel de la sécurité Microsoft
Blog de Sophos Security
Et vous ?
Que pensez-vous de la situation que dépeint ce rapport ?
Faut-il déconseiller l'installation de Java comme le suggère le responsable de Sophos ?
Le rapport Security Intelligence de Microsoft souligne en effet un record : entre le tiers et la moitié des exploits sont dus à des failles dans l'environnement d'exécution (JRE), la machine virtuelle (JVM) et le JDK.
Oracle ne tarde pas outre mesure à proposer des correctifs ; le problème réside plutôt dans leur propagation, diagnostique Tim Rains, directeur du groupe Trustworthy Computing à Microsoft.
« Plusieurs des failles Java les plus communément exploitées sont anciennes, et avaient eu des mises à jour de sécurité depuis des années ». Ainsi, les solutions utilisées par les attaquants servent longtemps, car les attaquants qui développent, ou rachètent des kits de piratage, continuent d'obtenir un retour positif sur investissement, observe Tim Rains.
À titre d'exemple, la faille la plus exploitée (CVE-2010-0840, touchant le JRE) a été corrigée en mars 2010 et a attendu le dernier trimestre de la même année pour gagner en popularité auprès des hackers malintentionnés.
La problématique est d'autant plus exacerbée que bien souvent, plusieurs versions majeures de l'environnement d'exécution du langage cohabitent sur une même machine (en fonction des solutions qui réclament leur présence).
Le rapport de Microsoft repose sur le nombre d'exploits arrêtés par sa solution antimalware, ayant bloqué 27.5 millions d'attaques sur les 12 derniers mois.
Si Tim Rains préfère insister sur la nécessité des mises à jour auprès des utilisateurs et sysadmins, Chester Wisniewski de Sophos va d'emblée jusqu'à conseiller de se passer de Java : « la plupart des personnes n'utilisent pas Java de nos jours, et ça [ne pas installer Java] réduit la surface d'attaque en provenance d'Internet », affirme-t-il.
Les développeurs Java, le langage de programmation le plus populaire, apprécieront !
Sources :
Et vous ?
-
saccocheNouveau membre du ClubEn regardant 30 secondes le graphique moi ce qui me choque c'est la progression sur le dernier Quadrimestre pour les OS.
Ce bon gros troll ne servirais pas a cacher ça par hasard?le 30/11/2011 à 10:49 -
YannPeniguelMembre éprouvéLes développeurs Java, le langage de programmation le plus populaire, apprécieront !
De plus, on peut configurer Java pour refuser d’exécuter les applications d'origine non sûr.
De la lecture: http://www.java.com/fr/download/faq/tips.xml
On peut pourrir n'importe quel système avec n'importe quel langage si l'admin laisse exécuter des applications venant de n'importe où.
Bref, les mises à jour de l'environnement et le blocage des applis non signées par une autorité reconnue fiable, c'est la base.le 30/11/2011 à 10:24 -
YannPeniguelMembre éprouvéTu peux en dire autant de toutes les applications utilisées par les grosses boites qui font valider par la DSI.
Les navigateurs ne sont pas à jour, les OS des serveurs non plus, les serveurs applicatifs non plus, rien n'est à jour. Ce n'est pas un problème spécifique à Java.le 02/12/2011 à 0:11 -
fregolo52Expert confirméIl n'y a pas que ça comme problème avec Java. Lorsqu'une DSI valide une version de JRE, elle peut rester très longtemps sur les systèmes. Idem pour les gros progiciels.
On ne peux pas dire que Java soit compatible avec le terme compatibilité ascendante.
J'en ai fait d'expérience il y a environ 1an : mise à jour de la JRE, et hop !!! Le logiciel ne marche plus.
Donc, oui, des vieilles versions java traînent ("volontairement"sur les PC (d'entreprise), c'est donc d'autant plus facile d'exploiter les failles. le 01/12/2011 à 8:29 -
BugFactoryMembre chevronnéSi la mise à jour de Java se lance pendant qu'on utilise un compte utilisateur (çad pas administrateur), elle demande un mot de passe administrateur. Après quoi elle échoue. Elle ne fonctionne que si on est connecté directement avec un compte administrateur.
Ce bogue inacceptable persiste depuis des années. Je ne m'étonne donc pas que la plupart des installations de Java ne soient pas à jour.
Et oui, je suis développeur java.le 30/11/2011 à 10:53 -
YannPeniguelMembre éprouvéC'est surement explicable par les OS Mobiles iOS et Android qui sont en forte croissance et qui sont victimes d'attaques.le 30/11/2011 à 10:53
-
styvsunMembre du ClubVu le graphique, bien sur que Java subit plusieurs failles de Sécurité. mais par contre on voit aussi une progression importante de faille de sécurité coté OS.
j'aimerais avoir un rapport de failles de sécurité sur différents OS.le 30/11/2011 à 11:36 -
YannPeniguelMembre éprouvéIl y a un windows mobile.
Et si tu lis le rapport:The information in this section is compiled from vulnerability disclosure data that is published in the National Vulnerability Database (http://nvd.nist.gov), the U.S. government repository of standards-based vulnerability management. It represents all disclosures that have a CVE (Common Vulnerabilities and Exposures) number.le 30/11/2011 à 12:11 -
gbdiversInactifQuestion d'un péon en java : est ce que les mises à jour sont disponibles sur toutes les OS, en particulier win 2000 et win Xp ?
Si les mises à jour passent pas sur d'anciens systèmes, ce n'est peut être pas étonnant comme chiffres.
Et +1 pour le problème de droit d’administrateur (mais c'est peut être aussi un problème d'administrateur qui ne fait pas les mises à jour de son parc)le 30/11/2011 à 13:36 -
KaliteMembre confirméJe retire donc ce que j'ai dit.Cependant, dans l'article ce n'est pas préciser et l'information que je cite précédemment porte a confusion.le 30/11/2011 à 14:03