Sécurité: Java plus attaqué qu’il n’y paraît selon Microsoft

Faire d’une application ou un environnement informatique un standard du marché attire inévitablement les cybercriminels qui s’acharnent à en déceler les failles de sécurité pour mieux prendre le contrôle de la solution. Microsoft est bien placé pour le savoir qui bataille tous les deuxième mardi du mois à combler les trous de sécurité de ses produits. Ce qui n’empêche pas la firme de Redmond d’étudier les solutions concurrentes et néanmoins accueillies sur Windows pour des raisons d’interopérabilité incontournable des applications. C’est notamment le cas de Java, technologie développée par Sun Microsystems aujourd’hui détenue par Oracle.

Selon Holly Stewart, du Microsoft Malware Protection Center (MMPC), les attaques contre Java ont explosé à partir du deuxième trimestre 2010 allant jusqu’à atteindre un pic de plus de 6 millions au cours du troisième trimestre. Le chercheur précise que les attaques se concentrent sur trois vulnérabilités principalement, toutes corrigées par l’éditeur. Les pirates ciblent donc les entreprises prises en défaut de mise à jour de leurs applicatifs. « Java est omniprésent, et, comme cela a été le cas avec les navigateurs et lecteurs de documents type Adobe Acrobat, les gens ne pensent pas à le mettre à jour », écrit Holly Stewart.

Ne leur jetons pas la pierre trop vite, encore faut-il savoir que Java est bien présent dans l’environnement informatique. « Par dessus le tout, Java est une technologie qui tourne en tâche de fonds pour permettre aux composants plus visibles de fonctionner. Comment savoir si Java est installé ou s’il est lancé », s’interroge le responsable. Et ce d’autant que Java est, par nature, multi-plateforme.

Ainsi, les vulnérabilités CVE-2008-5353 et CVE-2009-3867 ont respectivement connues plus de 3,5 millions et 2,6 millions d’attaques. La première est liée à une faille JRE (Java Runtime Environment) qui permet l’exécution de code distant à partir d’un navigateur (supportant Java) sur Windows, Mac OS comme Linux; la seconde autorise également la prise de contrôle à distance, multi-plateforme, à partir d’une analyse incorrecte de fichiers longs.

Reste à savoir pourquoi les attaques contre Java ne remontent pas plus fréquemment à la connaissance des entreprises. Holly Stewart a une théorie: « Les éditeurs de solution de prévention d’intrusion (IPS/IDS) sont généralement ceux qui évoquent les premiers les nouveaux types d’exploitation, ont des difficultés avec l’analyse du code Java. Documents, fichiers multimédia, JavaScript – assurer leur protection est un vrai défi. Maintenant, pensez à l’idée d’intégrer un interpréteur Java dans un moteur anti-intrusion? L’impact sur les performances du réseau IPS pourrait être paralysant. Donc, les gens qui peuvent pointer l’augmentation des attaques éprouvent du mal à voir ce spectre particulier de la lumière. Appelez cela la cécité Java. » Holly Stewart n’en relativise pas moins la réalité de la situation. Les attaques contre Java (ou exploitant Java) restent inférieures en nombre à un logiciel espion comme Zeus dont le botnet découvert en 2007 est toujours d’actualité.