Une faille dans Java inquiète la planète Informatique

 

Globalement, il s’agit d’une faille qui affecte le « Security Manager ». Pour faire simple, un code malicieux caché dans une applet (petite application Java intégrée dans une page Web) permet de contourner les protections de Java et de faire exécuter à l’environnement Java n’importe quel code (avec tous les accès possibles, donc notamment un accès total aux données de l’utilisateur sur son poste). Cette faille n’affecte (d’après les alertes de sécurité publiées) que l’utilisation de Java dans un navigateur.

 

 

Le contrôle obtenu sur la machine de l’utilisateur est « total » et la contamination est très facile (il suffit que l’utilisateur charge une page infectée). La portée de cette faille est donc très importante, elle met en danger les données privées de nombreux utilisateurs, mais elle permet également l’introduction de « chevaux de Troyes » (on reporte notamment une version modifiée de « Poison Ivy » un trojan connu) qui eux même peuvent permettre d’autres actions malveillantes. 

 

Elle est aussi importante parce qu’elle soulève beaucoup de question sur la politique de gestion de la sécurité chez Oracle : si l’on considère que l’arrivée de la faille s’est produite au moment où un exploit (code permettant d’exploiter la faille) a été publiquement diffusé (il y a moins d’une semaine) la réponse a été rapide, mais en réalité, la faille a été détectée et signalée à Oracle en avril dernier. Le fait qu’Oracle ne réagisse que lorsque la démonstration du risque réel de la faille a été faite publiquement, en dit long sur leur politique en matière de sécurité.

 

 

Le plus simple est bien sûr de désactiver Java. Mais Oracle vient de soumettre un correctif de sécurité (aujourd’hui exactement) qui devrait résoudre le problème (bien qu’il semble qu’il y ait une autre faille déjà disponible).

 

Il faut donc soit désactiver le support Java dans le navigateur, soit s’assurer d’avoir le dernier correctif (Java 7 update 7, la version vulnérable étant Java 7 update 6). Normalement, le système de mise à jour de Java devrait le proposer automatiquement, sinon il faut récupérer la mise à jour sur le site d’Oracle.

 

 

Dans tous les cas (et même avec le correctif), il faut se méfier des sites que l’on visite. Un grand nombre de problèmes touchant les postes utilisateurs sont liés à l’exploitation de failles dans les navigateurs (notamment via le support de Javascript) et leurs plugins (notamment Flash).

 

Mais pour que ces failles soient exploitées, il faut visiter les pages infectées. La meilleure prévention est donc de se méfier des liens dont l’origine est douteuse (notamment ceux dans les publicités, sur les sites ou reçus par mail).

 

Certains navigateurs proposent aussi d’activer les plugins à la demande (ce qui évite qu’un code malicieux présent dans une applet java ou dans un contenu en flash s’exécute discrètement).

 

 

Globalement tout dépend des sites visités. Les applets Java sont aujourd’hui beaucoup moins présentes sur la toile qu’il y a quelques années. Les sites préfèrent utiliser Flash, ou HTML5. Par conséquent, sauf si vous consultez régulièrement un site (ou plusieurs) utilisant la technologie Java, il y a peu de chance que vous soyez vraiment dérangé par cette désactivation.

 

Les progrès récents des moteurs Javascript (à ne pas confondre avec Java) et l’avancée de WebGL (spécification d’affichage 3D pour les navigateurs Web) et le langage HTML5 rendent l’usage des applets de moins en moins probant, il y a donc des chances que vous puissiez vous passer de Java dans votre navigateur sans dommage.