Pour gérer vos consentements :
Categories: Sécurité

Sécurité: Java plus attaqué qu’il n’y paraît selon Microsoft

Faire d’une application ou un environnement informatique un standard du marché attire inévitablement les cybercriminels qui s’acharnent à en déceler les failles de sécurité pour mieux prendre le contrôle de la solution. Microsoft est bien placé pour le savoir qui bataille tous les deuxième mardi du mois à combler les trous de sécurité de ses produits. Ce qui n’empêche pas la firme de Redmond d’étudier les solutions concurrentes et néanmoins accueillies sur Windows pour des raisons d’interopérabilité incontournable des applications. C’est notamment le cas de Java, technologie développée par Sun Microsystems aujourd’hui détenue par Oracle.

Selon Holly Stewart, du Microsoft Malware Protection Center (MMPC), les attaques contre Java ont explosé à partir du deuxième trimestre 2010 allant jusqu’à atteindre un pic de plus de 6 millions au cours du troisième trimestre. Le chercheur précise que les attaques se concentrent sur trois vulnérabilités principalement, toutes corrigées par l’éditeur. Les pirates ciblent donc les entreprises prises en défaut de mise à jour de leurs applicatifs. « Java est omniprésent, et, comme cela a été le cas avec les navigateurs et lecteurs de documents type Adobe Acrobat, les gens ne pensent pas à le mettre à jour », écrit Holly Stewart.

Ne leur jetons pas la pierre trop vite, encore faut-il savoir que Java est bien présent dans l’environnement informatique. « Par dessus le tout, Java est une technologie qui tourne en tâche de fonds pour permettre aux composants plus visibles de fonctionner. Comment savoir si Java est installé ou s’il est lancé », s’interroge le responsable. Et ce d’autant que Java est, par nature, multi-plateforme.

Ainsi, les vulnérabilités CVE-2008-5353 et CVE-2009-3867 ont respectivement connues plus de 3,5 millions et 2,6 millions d’attaques. La première est liée à une faille JRE (Java Runtime Environment) qui permet l’exécution de code distant à partir d’un navigateur (supportant Java) sur Windows, Mac OS comme Linux; la seconde autorise également la prise de contrôle à distance, multi-plateforme, à partir d’une analyse incorrecte de fichiers longs.

Reste à savoir pourquoi les attaques contre Java ne remontent pas plus fréquemment à la connaissance des entreprises. Holly Stewart a une théorie: « Les éditeurs de solution de prévention d’intrusion (IPS/IDS) sont généralement ceux qui évoquent les premiers les nouveaux types d’exploitation, ont des difficultés avec l’analyse du code Java. Documents, fichiers multimédia, JavaScript – assurer leur protection est un vrai défi. Maintenant, pensez à l’idée d’intégrer un interpréteur Java dans un moteur anti-intrusion? L’impact sur les performances du réseau IPS pourrait être paralysant. Donc, les gens qui peuvent pointer l’augmentation des attaques éprouvent du mal à voir ce spectre particulier de la lumière. Appelez cela la cécité Java. » Holly Stewart n’en relativise pas moins la réalité de la situation. Les attaques contre Java (ou exploitant Java) restent inférieures en nombre à un logiciel espion comme Zeus dont le botnet découvert en 2007 est toujours d’actualité.

Recent Posts

Green IT : un « référentiel carbone » pour la dématérialisation

Un référentiel ouvert pour mesurer l'empreinte carbone de la chaîne de dématérialisation à travers 21…

14 minutes ago

SAP Universal ID : la « phase deux » touche à sa fin

SAP entend boucler d'ici à fin 2022 la deuxième phase de son programme Universal ID.…

2 heures ago

SSO et passwordless à l’expérimentation sur Azure Virtual Desktop

Microsoft expérimente, sur son VDI, l'authentification unique (SSO) et sans mot de passe, avec fédération…

4 heures ago

Budget 2023 : la part belle au numérique ?

Formation cyber, très haut débit, identité numérique régalienne... Quelle place pour le numérique au budget…

19 heures ago

Stéphanie Schaer : la nouvelle patronne de la Dinum en 5 dates

De Bercy à la « période Borne », focus sur cinq moments qui ont jalonné…

1 jour ago

Lenovo : quand le DSI et le CTO s’alignent

L'alignement de responsabilités techniques fait partie des leviers activés par Lenovo pour affronter les soubresauts…

2 jours ago