Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Sécurité : Java serait le programme le plus exposé aux attaques
Suivi par QuickTime, Adobe Reader, VLC et .Net Framework

Le , par Amine Horseman

0PARTAGES

4  1 
Selon un rapport de la firme de sécurité Secunia, les chiffres récoltés par leur logiciel d'inspection durant le dernier trimestre de l'année 2014 montrent que Java est le programme le plus exposé aux risques de sécurité. En effet, dans les USA par exemple, 48% des utilisateurs n'exécuteraient pas la dernière version du JRE, malgré la disponibilité de nouvelles mises à jour. Ce taux s'élève à 51% en Allemagne contre 42% pour le Royaume-Uni.

Le fait que ce programme soit le plus exposé aux attaques ne veut pas dire qu'il contient forcément un grand nombre de vulnérabilités. C'est juste qu'il possède le plus grand taux de pénétration puisqu'il est installé sur 65% des ordinateurs aux USA. Le 2ème logiciel le plus exposé aux risques est QuickTime, suivi d'Adobe Reader. Ce dernier ne prend que la 4ème position au Royaume-Uni, VLC étant le 3ème. Pour la suite du classement on trouve Microsoft .NET framework 2.x, 3.x et 4.x ainsi qu'Internet Explorer 11.x.

Liste des 10 applications les plus exposées aux risques de sécurité durant le dernier trimestre de 2014 selon les données récoltées aux USA par le logiciel Personal Software Inspector (source : Secunia)


Les chiffres récoltés par Secunia montrent aussi que les ordinateurs aux USA comportent en moyenne 76 programmes dont 41% sont des produits Microsoft. Ces derniers étaient à l'origine de 47% des failles de sécurités entre janvier et septembre 2014 alors que les vulnérabilités causées par le système d'exploitation lui-même tournaient autour de 6%. Aussi, l'étude montre que 12,9% des utilisateurs américains ne mettent pas à jour leur système d'exploitation ce qui augmenterait les risques.

Quant aux applications qui n'ont plus de mises à jour de sécurité disponibles à cause de leur fin de support, elles auraient un taux de pénétration de 5,7%. Flash Player 15 par exemple, reste installé sur 73% des ordinateurs américains et 79% au Royaume-Uni, malgré qu'il ne soit plus maintenu par Abode.

À remarquer que tous ces chiffres sont basés sur les données des millions d'utilisateurs du logiciel Personal Software Inspector (PSI) de Secunia destiné seulement à une utilisation privée. Toutefois, « il n'y a aucune raison de supposer que ces résultats seraient différents s'ils avaient été collectés sur des ordinateurs d'entreprises », déclare Kasper Lingaard, le directeur de recherche de Secunia.

Source : Secunia

Et vous ?

Mettez-vous fréquemment à jour vos applications et système d'exploitation ?

Que pensez-vous des résultats de l'étude ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de ymajoros
Membre habitué https://www.developpez.com
Le 02/02/2015 à 12:50
Citation Envoyé par papabury59 Voir le message
Et lorsque java est utilisé pour une servlet sur un site web, il suffit d'aller dans le code source pour récupérer le .class et le transformer en .java à l'aide d'un logiciel tel que cavaj ( pour ceux qui n'ont pas remarqué , c'est javac à l'envers XD).
Attention, tu confonds servlet et applet.

Une applet, ça tourne sur le client et c'est décompilable. Ce qui ne veut pas forcément dire que ce n'est pas sécurisé (voir par ex. réponse de Voïvode).

Une servlet, ça tourne sur le serveur et ça génère du html (ou autre). Tu ne verras pas de jar ou de class côté client et tu ne pourras pas décompiler.

Quand on parle d'application web, on ne parle pas d'applet. Les applets sont une manière facile de charger un client lourd (= le code tourne sur le client) à partir de son navigateur. Elles sont déconseillées dans beaucoup de cas.
2  0 
Avatar de frenchlover2
Membre du Club https://www.developpez.com
Le 28/01/2015 à 12:20
le sucées d'un langages n'est pas de tout repos , il est cibler a cause de son adoption massif , les gens exploite les failles des outils les plus connu pour cibler la grande majorité
2  2 
Avatar de Shuty
Membre éprouvé https://www.developpez.com
Le 28/01/2015 à 14:53
Rien de nouveau concernant Java... Après c'est forcément le cas du faite que la techno d'Oracle est partout...
1  1 
Avatar de papabury59
Nouveau membre du Club https://www.developpez.com
Le 30/01/2015 à 17:25
Personnellement , je suis très intéressé par la sécurité informatique au point de vouloir, l'année prochaine aller dans une école d'ingénieur en cyberdéfense.
Et avec le peu d’expériences que j'ai à ce niveau là, je trouve que java n'est pas assez sécurisé. Il faut dire ce qui est. Une application java peut-être analysé grâce à un désassembleur. Et lorsque java est utilisé pour une servlet sur un site web, il suffit d'aller dans le code source pour récupérer le .class et le transformer en .java à l'aide d'un logiciel tel que cavaj ( pour ceux qui n'ont pas remarqué , c'est javac à l'envers XD).

Mais on parle de java, mais est-ce que les autres langages sont sécurisés ? Il faudrait que je fasse plus de recherches sur le sujet. Mais sachez que si un site à sa sécurité basé sur un code java ou javascript, alors il ne seras pas bien sécurisé. Et la sécurité est souvent mal évalué sur les sites. Les "https" sont donnés mais ne signifient pas toujours la bonne sécurité du site. J'ai fait un test avec le premier site https qui me tombait sous la main et je l'ai piraté. Réssultat : faille javascript trouvé, inscription d'identifiants illégalement dans la base de données du site accès au statut d'admin. J'ai fait cela avec le stie de mon université aussi, et je l'ai ai aidé à corriger la faille, et la c'était une faille php. Autre exemple, sur le réseau des ordinateurs de mon université, faille de sécurité en bash qui permettait de devenir admin sur le réseau.

Enfin, tout cela pour dire que quelque soit le langage utilisé, je suis persuadé qu'il existeras toujours un moyen de contourner la sécurité, et je suis pas du genre à abandonner facilement.

Voilà, j'ai donné mon avis de débutant, certes, mais aussi de passionné qui essaie de changer les choses pour rendre l'informatique RÉELLEMENT sécurisée.

Cordialement,
Bury Florian,
étudiant en deuxième année de DUT informatique.
0  0 
Avatar de Voïvode
Membre émérite https://www.developpez.com
Le 30/01/2015 à 19:19
Citation Envoyé par papabury59 Voir le message
Et avec le peu d’expériences que j'ai à ce niveau là, je trouve que java n'est pas assez sécurisé. Il faut dire ce qui est. Une application java peut-être analysé grâce à un désassembleur.
  1. Tu as déjà décompilé un programme passé à la moulinette de l’obfuscation ?
  2. Décompiler signifie donc pouvoir accéder au code source. Avec ton raisonnement, aucun logiciel open source n’est sécurisé.

Mais sachez que si un site à sa sécurité basé sur un code java ou javascript, alors il ne seras pas bien sécurisé.
Absolument pas. C’est vrai que Java a eu une très mauvaise passe ces deux dernières années, mais beaucoup de choses ont changé avec Java 8.
Quant à JavaScript, je ne comprends pas pourquoi tu penses cela.

Et la sécurité est souvent mal évalué sur les sites. Les "https" sont donnés mais ne signifient pas toujours la bonne sécurité du site. J'ai fait un test avec le premier site https qui me tombait sous la main et je l'ai piraté.
Tu as réussi avec le premier site venu probablement parce que tu as exploité POODLE. Les failles Heartbleed, ShellShock et POODLE furent de grosses leçons sur le soin qu’il faut apporter à la sécurité. Le minimum étant de soigneusement configurer son système et de le maintenir à jour pour limiter autant que possible les dégâts des failles 0-day, ce qui est loin d’être une évidence dans les grosses structures (et pas elles seulement).

Ton université a probablement ce problème. La faille bash est plus qu’un indice.

Mais on parle de java, mais est-ce que les autres langages sont sécurisés ? […] Enfin, tout cela pour dire que quelque soit le langage utilisé, je suis persuadé qu'il existeras toujours un moyen de contourner la sécurité
Tu as répondu à ta propre question. Ce n’est pas tant un problème de technologie que de gestion et de bonnes pratiques.
0  0 
Avatar de JayGr
Membre actif https://www.developpez.com
Le 02/02/2015 à 10:43
Citation Envoyé par Voïvode Voir le message

Mais je comprends ce que tu veux dire. Le problème que tu évoques concerne aussi une population qui tourne avec des versions sans système de màj auto, et cela crée une fragmentation difficile à résorber (comme pour les navigateurs). Java 1.6 a ce problème…
Hello,

Pas étonnant que les gens désactivent les MàJ auto... Les gens lambda commencent a avoir une peur bleue des virus et les gens du domaine savent qu'un MàJ automatique peut engendré des problèmes de compatibilité avec les outils de tous les jours.
Je trouve qu'il ne faut pas tout remettre sur le dos de l'utilisateur...
Les mises à jour sont tout aussi fautive !

Même si, je te l'accorde, d'un point de vue sécu les MàJ c'est LE plus important.

Et pour la situation en entreprise... Sans commentaire. Quand on voit le temps que cela met dans certaines entreprise...

@+
0  0 
Avatar de provirus
Membre confirmé https://www.developpez.com
Le 06/02/2015 à 18:36
L'article parle de Java alors que ce dernier n'a rien à voir avec les problèmes de sécurité. Java roule avec autant de permissions que l'utilisateur alors c'est comme dire qu'un logiciel C++ n'est pas sécure.

Visiblement, quand on regarde la comparaison, on voit que ça n'a ni queue ni tête: c'est quoi le dénominateur commun entre Java, .NET et VLC??

Je crois que ce que l'auteur voulait vraiment dire, c'est "Applet Java" et même à ça, comparer avec .NET et VLC, aucun rapport...
0  0 
Avatar de Voïvode
Membre émérite https://www.developpez.com
Le 28/01/2015 à 12:27
Sauf que Java 7 est bientôt en fin de vie et sera remplacé automatiquement par Java 8. Les parts de marché de la version 7 devraient s’effondrer d’ici un mois.
0  1 
Avatar de dfiad77pro
Membre expérimenté https://www.developpez.com
Le 28/01/2015 à 12:34
Citation Envoyé par Voïvode Voir le message
Sauf que Java 7 est bientôt en fin de vie et sera remplacé automatiquement par Java 8. Les parts de marché de la version 7 devraient s’effondrer d’ici un mois.
dans ma boite ( pourtant une grosse boite), sur les postes utilisateurs ( soient 8400 postes) il y'a par défaut une version de java 1.6 avec des updates datant de 2009...
par contre sur les serveurs c'est un peu mieux...

Donc le java 1.8 en standard d'ici 1 mois, je n'y crois pas du tout.
Pour le grand publique,
Si oracle était en bon terme avec microsoft et respectaient les standards d'installation sur Windows , ils pourraient proposer leur java sur windows Update
1  2 
Avatar de bilgetz
Membre averti https://www.developpez.com
Le 28/01/2015 à 12:43
Toutefois, « il n'y a aucune raison de supposer que ces résultats seraient différents s'ils avaient été collectés sur des ordinateurs d'entreprises », déclare Kasper Lingaard, le directeur de recherche de Secunia.
Vue le nombre d'entreprise qui garde une version de java car c'est la seul compatible avec leur appli web avec un applet a la con, je pense que si, ça serai différent.
0  1