Les experts en sécurité, y compris le département américain de la sécurité intérieure, ont préconisé à l’unanimité, la désactivation du plugin Java dans le navigateur, ou la suppression de l’application pour ceux qui ne l’utilisent pas.
La fréquence de découvertes des vulnérabilités dans la plateforme de développement a même poussé les chercheurs en sécurité à remettre en cause la qualité du code de Java et les capacités d’Oracle à corriger ces failles.
Adam Gowdiak, PDG de Security Exploration (firme ayant découvert plusieurs failles Java), estime, par exemple, qu’il y a « clairement quelque chose d’inquiétant dans la qualité du code de Java 7 SE », ceci étant la conséquence du manque d’un cycle de développement axé sur la sécurité. HB Moore, le créateur du kit de piratage Metasploit, pense, pour sa part, qu’il faudrait près de deux ans à Oracle pour corriger l’ensemble des failles de sécurité identifiées dans Java.
Quoi qu'il en soit, Oracle doit réagir et tenter de rassurer les utilisateurs de Java. C’est ce que vient de faire Milton Smith, responsable de la sécurité Java chez Oracle, lors d'une conférence téléphonique qui s'est tenue la semaine dernière avec les représentants des groupes d'utilisateurs du langage.
Oracle s’est engagé à corriger Java et à mieux communiquer sur le langage. « Le plan de sécurité de Java est très simple », a déclaré Smith. « Dans un premier temps, corriger Java, et ensuite mieux communiquer sur nos efforts pour soutenir le langage. L'un ne va pas sans l'autre. Aucun discours ou effort d'apaisement ne peut satisfaire personne. Nous devons corriger Java ».
Cette initiative passe par exemple par une communication plus étendue sur le langage. « Un de nos objectifs est de s’assurer qu’Oracle atteint tous les publics, aussi bien les utilisateurs, les professionnels IT que les ingénieurs », a déclaré Smith.
Le responsable de la sécurité Java chez Oracle n’a pas révélé comment Oracle compte intensifier la communication sur Java. Par ailleurs, il a déclaré qu’une piste serait la publication des mises à jour de sécurité directement aux représentants des groupes utilisateurs, qui pourraient ensuite relayer les informations aux membres.
Pour l’instant, Java 7u11, la dernière mise à jour de sécurité d’Oracle est encore vulnérable aux attaques. Le prochain correctif d’Oracle est toujours attendu.
Source : Conférence téléphonique de Milton Smith