La faille Java zero day exploitée

Christophe Lagane,

Selon AVG, des pirates russes tireraient parti de la faille Java récemment découverte pour infecter les visiteurs d’un site populaire.

C’était à prévoir. Moins d’une semaine après la sa découverte, la faille critique zero day qui affecte Java est aujourd’hui exploitée. Roger Thompson, directeur technique de l’éditeur de sécurité AVG, rapporte dans son blog que la faille est exploitée par un serveur installé en Russie.

Selon le responsable, les hackers auraient compromis un site de paroles de chansons populaires telles que celles de Rihanna, Usher, Lady Gaga et Miley Cyrus. « Qui aurait cru que Miley pourrait être dangereux? », s’interroge ironiquement Roger Thompson. Ce n’est évidemment pas la chanteuse qui est dangereuse mais le fait de consulter les contenus s’y rapportant depuis le site en question qui s’avère être Songlyrics.com (bien que le responsable ne le site pas). Les visiteurs sont alors détournés vers le serveur pirates et rapidement assaillis de logiciels espions.

Comme révélé par Tavis Ormandy, ingénieur sécurité chez Google, la faille affecte toutes les versions de l’application depuis Java 6 Update 10. Version qui délivre le contrôle Active X Java Deployment Toolkit. Lequel simplifie pour les développeurs la distribution de leurs applications… dont on peut constater le résultat aujourd’hui. Seuls les systèmes Windows en sont affectés avec Internet Explorer comme Firefox (du moins si Java est installé). La question reste en suspens pour Chrome, Opera et Safari.

Et il y a fort à parier que les exemples d’exploitation de la vulnérabilité Java se multiplient rapidement. « Le code impliqué est vraiment simple et facile à copier », note Roger Thompson. Voilà qui poussera peut-être Oracle (désormais propriétaire de Java depuis l’acquisition de Sun Microsystems) à corriger le tir. Ce qui n’est pas gagné tant la stratégie de l’éditeur en matière de sécurité semble figée autour d’un correctif unique trimestriel. En attendant, le seul moyen de se protéger reste de désinstaller Java de Windows… ou d’utiliser AVG Linkscanner, s’empresse de préciser le directeur technique. L’application vise à protéger les internautes des menaces du Web en signalant les liens qui pointent vers des pages potentiellement dangereuses. Bref, sortez couverts.

Mise à jour (16 avril 2010): Oracle patche Java en urgence