Parallèlement à la découverte de cette nouvelle vulnérabilité, le cabinet de sécurité Bit9 a mené une enquête sur Java et ses vulnérabilités.
Les conclusions sont alarmantes. Les risques de sécurité liés à l’utilisation de la plateforme de développement populaire sont à partager entre Oracle et les utilisateurs.
Java est tellement omniprésent dans l’écosystème des entreprises, qui sont extrêmement inefficaces dans la gestion des mises à jour et la suppression des anciennes versions, que celles-ci sont des proies faciles pour les pirates.
L’enquête a permis de constater que plus de la moitié des organisations de l’étude avaient plus de 50 versions de Java installées sur leurs équipements. 5 % de ces entreprises auraient plus de 100 versions de Java installées.
La principale cause de cette multiplicité de versions sur un terminal serait liée à la mauvaise compréhension des termes « mise à jour » et « mise à niveau ». « Au cours des 15 dernières années, les administrateurs ont été soumis à la perception erronée des mises à jour. On leur a dit que pour améliorer la sécurité, ils doivent en permanence et de manière agressive déployer les mises à jour Java », explique Harry Sverdlove, directeur de Bit9.
D’après Bit9, le processus de publication des mises à jour Java n’apporte pas la sécurité attendue, car les versions affectées par les failles corrigées ne sont pas supprimées. Conséquence : les équipements des entreprises restent toujours hautement vulnérables.
La version la plus populaire de Java (Java 6 Update 20), encore utilisée par 82 % des entreprises de l’étude, dispose de près de 96 vulnérabilités, selon Bit9, qui souligne que celles-ci sont étiquetées comme de « gravité élevée ».
L’enquête de Bit9 est basée sur une analyse des statistiques de déploiement de Java sur environ 1 million de systèmes des centaines d’entreprises à travers le monde.
Cette étude rejoint celle de WebSence publiée en mars dernier, qui concluait que 94 % des terminaux utilisant Java sont vulnérables à un exploit au minimum sur le JRE. Selon WebSence, trois machines sur quatre utiliseraient un JRE vieux d’au moins six mois.
Source : Bit9
Et vous ?
Qu’en pensez-vous ? Plusieurs versions de Java sont-elles installées sur les systèmes de votre entreprise ?
Les entreprises ne sont-elles pas les premières à s’exposer par un manque de gestion efficace des mises à jour ?