Java : la nouvelle cible privilégiée des pirates
Faute d'une réelle politique de protection selon des experts

Le , par tarikbenmerar

24PARTAGES

9  2 
Le constat est alarmant ! Les vulnérabilités liées à la plateforme Java sont en augmentation selon Jason Jones, un chercheur en sécurité qui présentera les derniers résultats de ses travaux ce mardi, à la conférence Black Hat USA 2012.

Jones a surveillé le développement de quelques toolkits d'exploits Web des plus utilisés, tels que BlackHole et Phoenix, ce qui lui a permis d'en arriver à cette conclusion inquiétante. Et la situation pourrait s'aggraver davantage, met en garde l'expert en sécurité, si Oracle ne met pas en place une réelle politique de protection des produits, avec des mises à jour constantes.

On le sait, les plug-ins des navigateurs, tels que Flash Player ou Acrobat Reader, sont la cible privilégiée des hackers. Mais les exploits récents témoigneraient d'un ciblage de plus en plus prononcé des plug-ins Java, du fait d'une plus grande probabilité de succès des attaques, estimée à 80 % par Jason Jones, par ailleurs collaborateur à HP DVLabs (Hewlett-Packard's vulnerability research division).

D'autres, comme Carsten Eiram (expert en sécurité à Secunia), reprochent à Oracle de ne pas avoir introduit un cycle de développement de sécurité (SDL). Ce processus a permis à Adobe de faire décroître significativement le nombre d'attaques sur ses produits Flash Player et Adobe Acrobat, avec des mises à jour régulières et automatiques.

De fait, les utilisateurs de Java ne se mettent pas régulièrement à jour, ce qui laisse la place libre aux hackers. Java serait ainsi en phase de remplacer Flash en tant que cible privilégiée des vulnérabilités zero-day. Même si des mécanismes d'isolation (ou Sandboxing) existent au sein de Java, une faille minime dans ce système peut s'avérer fatale, selon Eiram.

Des fonctionnalités des navigateurs peuvent éviter à l'utilisateur des risques majeurs, tel que le click-to-play, qui empêche l'exécution automatique des contenus basés sur des plug-ins.

Certains vont jusqu'à conseiller à l'utilisateur de supprimer intégralement le plug-in Java, moins utilisé que d'autres dans la navigation quotidienne. Mais cela n'est pas envisageable dans le cercle des professionnels. Selon Eiram, certaines banques utilisent encore Java en interne pour leurs plateformes de E-Banking.

Source :

CSO

Et vous ?

Partagez-vous l'avis de ces experts ?
Quelle politique de protection devrait mettre en place Oracle selon vous ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de zeyr2mejetrem
Membre chevronné https://www.developpez.com
Le 30/07/2012 à 14:15
Citation Envoyé par AsteroHache Voir le message

J'en vois certains qui sourient... doivent être sur linux !
Attention quand même. J'ai connu un intervenant de la DCRI qui m'expliquait que lors de leurs tests d'intrusion, les équipes de faux "Chapeaux noirs" étaient content quand ils apprenaient que la cible était sous Linux ... car ils savaient qu'ils rentreraient tôt le soir

Je ne dis pas que Linux n'est pas sûr.
Ce que je dis c'est qu'à force de dire "Sous Linux les virus n'existent pas" ou "Je n'ai jamais été infecté sous Linux", on donne à la plèbe une fausse impression de sécurité.
Du coup beaucoup d'admin Linux (en PME du moins) ont des uptimes de fou sur leurs serveurs et ne mettent pas à jour quotidiennement les logiciels sécuritairement défaillants notamment Java (Pourquoi faire, Linux est prétendûment indestructible), ce qui crée une voie royale pour les Hackers.

Quelquesoit l'OS, le maillon faible est souvent entre la chaise et le clavier
11  0 
Avatar de Uther
Expert éminent sénior https://www.developpez.com
Le 30/07/2012 à 15:37
Citation Envoyé par AsteroHache Voir le message
Mais quand on voit ce qu'il faut faire dans ce cas de java, c'est aussi normal pour l'utilisateur novice de ne pas savoir...

De plus, quand on installe une maj, la java 7 update 5, elle est censée désinstaller les autres maj antérieures. Cela a été le cas sur ma machine.
Mais on observe, pour celui qui sait qu'il faut aller voir, que ce n'est pas toujours le cas.
Avoir une vielle version installée en plus de la plus récente ne pose pas de problème de sécurité vu que seule la dernière JVM installée est utilisée par le navigateur. Au pire, c'est de l'espace disque gaspillé.
Pour utiliser une ancienne JVM, il faut qu'elle soit démarré par l’application qui y fait appel, et c'est donc fait en connaissance de cause.
3  0 
Avatar de Uther
Expert éminent sénior https://www.developpez.com
Le 30/07/2012 à 16:18
Citation Envoyé par AsteroHache
Si on reprend la page du dessus, il est dit cela:
L'accumulation d'anciennes versions non prises en charge de Java sur votre système présente un risque important pour la sécurité.
Donc si on suit ce que dit le site éditeur, il y a bien des risques quand même...
C'est juste que le spécialiste parle de la partie la plus visible des updates Java pour essayer de mieux mettre en valeur le problème, mais c'est faux : le navigateur utilise la dernière version du JRE installée.

Les anciennes versions ne peuvent plus être utilisées que par des applications locales qui y font appel directement.
3  0 
Avatar de Elendhil
Membre averti https://www.developpez.com
Le 30/07/2012 à 16:38
C'est une bonne chose d'un sens, à force Oracle va peut être se décider à mettre par défaut les mises à jour automatisés et silencieuse.

La faute n'est pas entièrement d'Oracle vu que la majorité des hacks/trojan/virus ne sont pas dû à "des failles 0 days". Ce sont juste des jvm qui n'ont pas été mis à jour ...

Pour quelles raisons les utilisateurs ne font pas ces updates (c'est automatisé depuis longtemps) , pas facile à savoir.

Peut-être ils ne savent pas ce que sait donc refuse la mise à jour , ils n'ont pas les droits, le système est corrompu , n'ont jamais le temps on verra ça plus tard ...

En tout cas ce que fait Google avec Chrome a l'air d'être le plus efficace ne jamais demandé à l'utilisateur, 100% automatisé et invisible.
3  0 
Avatar de ManusDei
Expert confirmé https://www.developpez.com
Le 30/07/2012 à 16:43
Citation Envoyé par Elendhil Voir le message
Pour quelles raisons les utilisateurs ne font pas ces updates (c'est automatisé depuis longtemps) , pas facile à savoir.
Simple, ils ne comprennent pas vraiment ce que c'est que cette histoire de Java et pourquoi le mettre à jour, ils le lancent jamais ce logiciel appellé "Java" (c'est un logiciel de musique, de danse ? ). Est-ce que ce truc c'est une vraie mise à jour, ou ça veut installer un virus ?

J'ai du nettoyer l'ordinateur de ma mère à cause de ça il y a peu de temps à cause de ça. J'aurais au moins découvert RogueKiller
3  0 
Avatar de AsteroHache
Nouveau Candidat au Club https://www.developpez.com
Le 30/07/2012 à 16:50
c'est donc un logiciel de musique ou de danse puisqu'il permet de découvrir Rock-Killer

Sur les pc que je vois, les gens ont peur de faire une connerie, et comme ils n'y connaissent rien, tout pendant que cela marche, ils ne font rien.
Aucune maj en fait...
+1 pour les maj silencieuses et forcées donc.
3  2 
Avatar de Zefling
Membre expert https://www.developpez.com
Le 30/07/2012 à 17:08
En même temps si les gens savaient un peu plus quels plug-ins tournent sur leur navigateur... Sur ma machine, Java fait parti de ceux qui je n'active pas, comme la grande majorité des plug-ins, ça évite de se poser des questions déjà que je ne connais pas un seul site il est indispensable.
3  3 
Avatar de Loceka
Expert confirmé https://www.developpez.com
Le 31/07/2012 à 9:45
Citation Envoyé par AsteroHache Voir le message
+1 pour les maj silencieuses et forcées donc.
Je suis le seul à vouloir contrôler un minimum ce qui se passe sur mon PC (question réthorique, je sais que je ne suis pas le seul) ?

Personnellement je déteste quand une appli se met à jour sans mon consentement et encore plus de manière silencieuse.
D'autant que pour Java c'est dangereux pour les développeurs vu que ce n'est pas rare que les updates introduisent des bugs, ce qui est généralement mal pris par les clients...
3  0 
Avatar de Uther
Expert éminent sénior https://www.developpez.com
Le 01/08/2012 à 7:09
Cet article parle de Javascript qui n'a absolument rien a voir avec Java.
Faire ce genre de chose avec Java, lèverait un message d'alerte.
3  0 
Avatar de AsteroHache
Nouveau Candidat au Club https://www.developpez.com
Le 30/07/2012 à 13:33
Bonjour

quand je vois ce qu'il faut parfois faire pour la maj de cette plateforme, et surtout sur la suppression des anciennes failles, je comprends que les Hackers ont la vie belle...
Un billet du jour suite à la lecture de votre info:
http://declicomatik.forumgratuit.org...nstat-alarmant

car le mieux reste l'avertissement de ce qu'il faut faire pour les utilisateurs.

Il y a deux jours sur une machine d'ami, la maj de java 7 update 5 n'a pas supprimé la maj java 6 update 33... d'où les failles, qui auraient perduré pour 99 % des utilisateurs non avertis...

Merci pour vos infos en tous les cas, qui ne rassurent pas...

Edit:
J'ajoute deux outils conçus par des Helpers, désinfecteurs en ligne, qui visent justement à vérifier si tout est à jour:
SX Check&Update de Igor51 : http://forum.security-x.fr/tutoriels...x-checkupdate/
WhyIGotInfected de Tigzy: http://www.sur-la-toile.com/WIGI/
voili voilou, ceux qui passeront par là auront la possibilité de vérifier en deux clics si tous les outils dont parle cet article sont à jour.

J'en vois certains qui sourient... doivent être sur linux !

2  3 
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web