Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

94 % d'utilisateurs de Java seraient exposés à des exploits
75 % exécuteraient un JRE vieux, indique un rapport de Websense

Le , par Stéphane le calme

48PARTAGES

2  1 
Mise à jour du 27/03/2013

94 % des utilisateurs de Java seraient exposés à des exploits,
75 % exécutent un ancien JRE, indique un rapport de Websense

Avec les nombreuses failles qui touchent l’écosystème Java, les entreprises utilisant les applications Java seraient exposées à des attaques de pirates.

En effet, il est rapporté par Websense que 94 % des terminaux faisant usage d’un logiciel Java sont vulnérables à un exploit au minimum sur le JRE.

L’entreprise note cependant que bon nombre de ceux-ci exécuteraient une version dépassée de la plateforme Java. En effet, trois machines sur quatre utiliseraient un JRE vieux d’au moins six mois, selon la même enquête. Plus de 50 % accuseraient un retard de deux ans sur les mises à jour des correctifs de sécurité.

Depuis des mois déjà, les utilisateurs ont été invités à désactiver Java de leur navigateur à cause des problèmes relatifs à sa sécurité.

Pour les entreprises qui ont l’impératif d’utiliser Java sur un site en particulier, il est conseillé d’utiliser le JRE uniquement pour lui et de le désactiver ailleurs.

Oracle recommande aux utilisateurs de Java 1.6 de migrer vers le JDK 7 pour recevoir des correctifs de sécurité (la version 1.6 étant en fin de cycle avec la sortie de sa mise à jour 43).

Il faut noter par ailleurs que cette version dispose de nouvelles options de sécurité permettant que les applets non signés génèrent toujours un message d’avertissement à l’utilisateur avant d’être exécutés.

Ces données sont à prendre avec modération, puisqu’elles ne concernent que les applications contrôlées par le service Websense. Données qui ont conduit au diagramme ci-dessous.


Source : Websense

Et vous ?

Que pensez-vous de cette étude ? Les utilisateurs ne sont-ils pas les premiers à s’exposer en n’appliquant pas les mises à jour ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Philippe Bastiani
Membre éprouvé https://www.developpez.com
Le 27/03/2013 à 21:41
Citation Envoyé par berceker united Voir le message
Depuis que je l'ai désinstallé, je me suis jamais retrouvé dans une situation ou je devais l'installer pour utiliser une quelconque application ou accéder à une fonctionnalité d'un site. D'un coté, je m'aventure pas loin coté internet. Mais je viens de me rendre compte que je pouvais m'en passer et que je suis pas emmerdé par ces mise à jour à répétition. La question se pose. Est-ce que l'utilisateur lambda a vraiment besoin d'une JVM pour aller sur Web ?
Non ! Sauf, pour remplir sa feuille d'imposition
1  0 
Avatar de rt15
Membre confirmé https://www.developpez.com
Le 25/04/2013 à 11:48
A la base le problème est que si quelqu'un veut infecter un max d'utilisateur via une page web, il a surtout trois choix:
javascript/html
java
flash

Les failles "javascript/html" dépendent du navigateur.
Flash semble assez béton, conçut à la base pour du rendu uniquement, donc bien sandboxé tôt.

Reste java et sa jvm très compliqué, généraliste, très répandue, souvent pas très à jour.

Donc pour infecter quelqu'un de passage sur une page web, chercher des failles dans java semble tout à fait indiqué.

Que java soit plus ou moins open ou gérer par le saint père, ça ne changera pas énormément de chose au problème.
La solution est que les navigateurs bloque plus les applet java, même ceux ne demandant pas de droits, et que les messages d'avertissements sur ceux demandant des droits fassent plus peur.
2  1 
Avatar de gbdivers
Inactif https://www.developpez.com
Le 27/03/2013 à 15:59
Tiens, il faudrait que je vérifie sur l'ordi du boulot avec Windows 2000 la version du JRE... La dernière version est compatible Windows 2000 ? (bon, d'un autre côté, j'ai pas les droits admin dessus, je pourrais pas faire la mise à jour)
0  0 
Avatar de tchize_
Expert éminent sénior https://www.developpez.com
Le 27/03/2013 à 16:10
Citation Envoyé par gbdivers Voir le message
La dernière version est compatible Windows 2000 ?
Perdu!

Fallait investir dans du solaris

Maintenant, ce sont les version "supportées des OS", pour les autres => faut essayer ^^
0  0 
Avatar de fregolo52
Expert confirmé https://www.developpez.com
Le 27/03/2013 à 16:56
Je ne vois pas la version 1.5 dans le camembert!

Le pire que j'ai vu c'est des applis Orable Forms avec jinitiator (donc JRE 1.3 like) sous XP SP2.

Ca fait peur ! Et si je vous dis que c'est la Police d'un pays qui a cette config, c'est inquiétant, non ? ,

Ah oui, j'ai oublié de dire quand : il y a 2ans. Donc, aujourd'hui rien n'a dû changer.
0  0 
Avatar de Philippe Bastiani
Membre éprouvé https://www.developpez.com
Le 27/03/2013 à 21:08
Citation Envoyé par fregolo52 Voir le message
Le pire que j'ai vu c'est des applis Orable Forms avec jinitiator (donc JRE 1.3 like) sous XP SP2.
Sauf erreur, jinitiator ne se substitue pas à la JRE... elle n'exécute donc pas du code venant de l'Internet (applet) ! Ce qui devrait te rassurer ;-)

a+
Philippe
0  0 
Avatar de berceker united
Expert confirmé https://www.developpez.com
Le 27/03/2013 à 21:27
Depuis que je l'ai désinstallé, je me suis jamais retrouvé dans une situation ou je devais l'installer pour utiliser une quelconque application ou accéder à une fonctionnalité d'un site. D'un coté, je m'aventure pas loin coté internet. Mais je viens de me rendre compte que je pouvais m'en passer et que je suis pas emmerdé par ces mise à jour à répétition. La question se pose. Est-ce que l'utilisateur lambda a vraiment besoin d'une JVM pour aller sur Web ?
0  0 
Avatar de tchize_
Expert éminent sénior https://www.developpez.com
Le 27/03/2013 à 23:25
+1 pour le non, l'utilisateur lambda n'en a pas besoin. Je ne comprends d'ailleurs toujours pas pourquoi le plugin n'est pas distribué à part
0  0 
Avatar de _skip
Expert éminent https://www.developpez.com
Le 28/03/2013 à 13:08
Citation Envoyé par tchize_ Voir le message
+1 pour le non, l'utilisateur lambda n'en a pas besoin. Je ne comprends d'ailleurs toujours pas pourquoi le plugin n'est pas distribué à part
Sans doute que ça faisait partie d'une stratégie de promotion de java, la base d'un discours du style "70% des machines sont équipées".

Maintenant dans les faits, à mon sens les applications JNLP ou les applets sont plus très intéressantes pour les gros sites tout public. Par contre pour certaines applications multi-utilisateurs en entreprise c'est intéressant. Et à ce moment là il serait effectivement envisageable de devoir installer un plug-ins et 2 ou 3 trucs à part. Quant à la sécurité? Si on écrit et consomme ses propres applications, pas trop de soucis...
0  0 
Avatar de berceker united
Expert confirmé https://www.developpez.com
Le 28/03/2013 à 13:22
Citation Envoyé par Philippe Bastiani Voir le message
Non ! Sauf, pour remplir sa feuille d'imposition
En effet, galere parce que c'est pour bientôt.
0  0