Discussion :

[tarikbenmerar]

Java : nouvelle cible privilégiée des hackers
Faute d'une réelle politique de protection selon des experts


Le constat est alarmant ! Les vulnérabilités liées à la plateforme Java sont en augmentation selon Jason Jones, un chercheur en sécurité qui présentera les derniers résultats de ses travaux ce mardi, à la conférence Black Hat USA 2012.

Jones a surveillé le développement de quelques toolkits d'exploits Web des plus utilisés, tels que BlackHole et Phoenix, ce qui lui a permis d'en arriver à cette conclusion inquiétante. Et la situation pourrait s'aggraver davantage, met en garde l'expert en sécurité, si Oracle ne met pas en place une réelle politique de protection des produits, avec des mises à jour constantes.

On le sait, les plug-ins des navigateurs, tels que Flash Player ou Acrobat Reader, sont la cible privilégiée des hackers. Mais les exploits récents témoigneraient d'un ciblage de plus en plus prononcé des plug-ins Java, du fait d'une plus grande probabilité de succès des attaques, estimée à 80 % par Jason Jones, par ailleurs collaborateur à HP DVLabs (Hewlett-Packard's vulnerability research division).

D'autres, comme Carsten Eiram (expert en sécurité à Secunia), reprochent à Oracle de ne pas avoir introduit un cycle de développement de sécurité (SDL). Ce processus a permis à Adobe de faire décroître significativement le nombre d'attaques sur ses produits Flash Player et Adobe Acrobat, avec des mises à jour régulières et automatiques.

De fait, les utilisateurs de Java ne se mettent pas régulièrement à jour, ce qui laisse la place libre aux hackers. Java serait ainsi en phase de remplacer Flash en tant que cible privilégiée des vulnérabilités zero-day. Même si des mécanismes d'isolation (ou Sandboxing) existent au sein de Java, une faille minime dans ce système peut s'avérer fatale, selon Eiram.

Des fonctionnalités des navigateurs peuvent éviter à l'utilisateur des risques majeurs, tel que le click-to-play, qui empêche l'exécution automatique des contenus basés sur des plug-ins.

Certains vont jusqu'à conseiller à l'utilisateur de supprimer intégralement le plug-in Java, moins utilisé que d'autres dans la navigation quotidienne. Mais cela n'est pas envisageable dans le cercle des professionnels. Selon Eiram, certaines banques utilisent encore Java en interne pour leurs plateformes de E-Banking.

Source :

CSO

Et vous ?

Partagez-vous l'avis de ces experts ?
Quelle politique de protection devrait mettre en place Oracle selon vous ?

[AsteroHache]

Bonjour

quand je vois ce qu'il faut parfois faire pour la maj de cette plateforme, et surtout sur la suppression des anciennes failles, je comprends que les Hackers ont la vie belle...
Un billet du jour suite à la lecture de votre info:
http://declicomatik.forumgratuit.org...nstat-alarmant

car le mieux reste l'avertissement de ce qu'il faut faire pour les utilisateurs.

Il y a deux jours sur une machine d'ami, la maj de java 7 update 5 n'a pas supprimé la maj java 6 update 33... d'où les failles, qui auraient perduré pour 99 % des utilisateurs non avertis...

Merci pour vos infos en tous les cas, qui ne rassurent pas...

Edit:
J'ajoute deux outils conçus par des Helpers, désinfecteurs en ligne, qui visent justement à vérifier si tout est à jour:
SX Check&Update de Igor51 : http://forum.security-x.fr/tutoriels...x-checkupdate/
WhyIGotInfected de Tigzy: http://www.sur-la-toile.com/WIGI/
voili voilou, ceux qui passeront par là auront la possibilité de vérifier en deux clics si tous les outils dont parle cet article sont à jour.

J'en vois certains qui sourient... doivent être sur linux !

[Grimly_old]

Je ne comprends pas. La quasi totalité des failles de nos programmes viennent du(des) développeur(s) derrière ce même programme (sans vouloir offenser personne, je n'en suis ni à ma première et surement pas à ma dernière faute). En quoi Oracle a le devoir de maintenir la sécurité de ce qu'il ne maîtrise pas ?

Après si il y a un bug lié directement à GlassFish, la JVM, ou tout autre partie délivrée par Oracle, pourquoi pas. Mais après ces attaques en profondeur ça me dépasse un peu.

En bref, ce n'est pas parce que j'ai pu écrire ma propre faille en Java (et parfois c'est voulu, qui sais) que Java y perd en sécurité.

[zeyr2mejetrem]

J'en vois certains qui sourient... doivent être sur linux !

Attention quand même. J'ai connu un intervenant de la DCRI qui m'expliquait que lors de leurs tests d'intrusion, les équipes de faux "Chapeaux noirs" étaient content quand ils apprenaient que la cible était sous Linux ... car ils savaient qu'ils rentreraient tôt le soir

Je ne dis pas que Linux n'est pas sûr.
Ce que je dis c'est qu'à force de dire "Sous Linux les virus n'existent pas" ou "Je n'ai jamais été infecté sous Linux", on donne à la plèbe une fausse impression de sécurité.
Du coup beaucoup d'admin Linux (en PME du moins) ont des uptimes de fou sur leurs serveurs et ne mettent pas à jour quotidiennement les logiciels sécuritairement défaillants notamment Java (Pourquoi faire, Linux est prétendûment indestructible), ce qui crée une voie royale pour les Hackers.

Quelquesoit l'OS, le maillon faible est souvent entre la chaise et le clavier

[Uther]

Je ne comprends pas. La quasi totalité des failles de nos programmes viennent du(des) développeur(s) derrière ce même programme (sans vouloir offenser personne, je n'en suis ni à ma première et surement pas à ma dernière faute). En quoi Oracle a le devoir de maintenir la sécurité de ce qu'il ne maîtrise pas ?

Tu as mal compris : bien sur que si l'utilisateur accepte d'exécuter du code dangereux c'est entièrement sa faute, mais en l’occurrence, on parle des failles de sécurité dans le plugin Java, un code sur lequel Oracle a entièrement la maitrise.

[AsteroHache]

Attention quand même.... on donne à la plèbe une fausse impression de sécurité.

En effet, on n'est jamais à l'abri quel que soit l'OS.

Quelquesoit l'OS, le maillon faible est souvent entre la chaise et le clavier

+1
Mais quand on voit ce qu'il faut faire dans ce cas de java, c'est aussi normal pour l'utilisateur novice de ne pas savoir...

De plus, quand on installe une maj, la java 7 update 5, elle est censée désinstaller les autres maj antérieures. Cela a été le cas sur ma machine.
Mais on observe, pour celui qui sait qu'il faut aller voir, que ce n'est pas toujours le cas.

Perso, je ne vise personne, je ne sais à qui cela incombe, mais je constate en effet...
Je reprends cette signature:

Si tu ne sais pas faire, apprends. Si tu fais, fais bien. Si tu sais bien faire, enseigne.
Mieux vaut paraître stupide quelques temps que rester stupide toute sa vie.

les ignorants sur la chaise n'attendent que cela je crois, apprendre.
reste à ne pas avoir la flemme de faire.
Et ensuite, en effet, de faire passer le mot.
C'est peut-être sur ce dernier point que l'éditeur pourrait faire quelque chose...
Et je ne pense pas que cette page soit suffisante:
http://www.java.com/fr/download/faq/...erversions.xml
Pour la simple et bonne raison que 99 % ne l'ont pas lue...
Bon après, si on ne se retrouve pas avec le virus codeur de windows, ni avec une machine bot, ni avec un sniffeur de frappe sur le clavier, c'est pas si grave, y'a pas mort d'hommes...

[zeyr2mejetrem]

Et je ne pense pas que cette page soit suffisante:
http://www.java.com/fr/download/faq/...erversions.xml
Pour la simple et bonne raison que 99 % ne l'ont pas lue...

On tombe sur un autre problème, celui de la responsabilité.
Beaucoup d'entreprises réfléchissent désormais en terme de "Comment je peux me couvrir pour me dégager de toute responsabilité en cas de problème ?", plutôt qu'en terme de "Comment faire pour faire de mes utilisateurs des personnes avertis qui éviteront les problèmes ?"

La logique sous-jacente tient pour moi en 2 faits:
- Il est moins cher de blinder des CGU que de "former" ses utilisateurs.
- Beaucoup d'utilisateurs ne cherchent pas ni ne veulent savoir. (C'est un peu le syndrôme du meuble Ikea ... une notice est fournie mais une majorité de gens ne prennent pas la peine de la lire puis se plaignent que "C'est tout un foutoir pour monter ce meuble, j'ai mis 3 heures à deviner comment on la monte !")

[Uther]

Mais quand on voit ce qu'il faut faire dans ce cas de java, c'est aussi normal pour l'utilisateur novice de ne pas savoir...

De plus, quand on installe une maj, la java 7 update 5, elle est censée désinstaller les autres maj antérieures. Cela a été le cas sur ma machine.
Mais on observe, pour celui qui sait qu'il faut aller voir, que ce n'est pas toujours le cas.

Avoir une vielle version installée en plus de la plus récente ne pose pas de problème de sécurité vu que seule la dernière JVM installée est utilisée par le navigateur. Au pire, c'est de l'espace disque gaspillé.
Pour utiliser une ancienne JVM, il faut qu'elle soit démarré par l’application qui y fait appel, et c'est donc fait en connaissance de cause.

[AsteroHache]

La logique sous-jacente tient pour moi en 2 faits:
- Il est moins cher de blinder des CGU
- Beaucoup d'utilisateurs ne cherchent pas ni ne veulent savoir.

Un peu d'accord avec cela, mais faut aussi avouer que ce n'est pas simple de mettre à jour une machine, quand on est novice, et pas passionné par la chose...

Avoir une vielle version installée en plus de la plus récente ne pose pas de problème de sécurité

alors, je ne savais pas cela, et croyais justement le contraire.
Si on reprend la page du dessus, il est dit cela:

L'accumulation d'anciennes versions non prises en charge de Java sur votre système présente un risque important pour la sécurité.

Donc si on suit ce que dit le site éditeur, il y a bien des risques quand même...

Perso, je ne suis pas assez calé pour affirmer quoique ce soit.

Je mets à jour et nettoie, pour ne pas prendre de risques donc.

[Uther]

Si on reprend la page du dessus, il est dit cela:

L'accumulation d'anciennes versions non prises en charge de Java sur votre système présente un risque important pour la sécurité.

Donc si on suit ce que dit le site éditeur, il y a bien des risques quand même...

C'est juste que le spécialiste parle de la partie la plus visible des updates Java pour essayer de mieux mettre en valeur le problème, mais c'est faux : le navigateur utilise la dernière version du JRE installée.

Les anciennes versions ne peuvent plus être utilisées que par des applications locales qui y font appel directement.

[zeyr2mejetrem]

C'est juste que le spécialiste fait du zèle pour essayer de mieux mettre en valeur le problème, mais c'est faux : le navigateur utilise la dernière version du JRE installée.

Les anciennes versions ne peuvent plus être utilisées que par des applications locales qui y font appel directement.

Ok pour le navigateur, il utilise souvent en effet la dernière version du runtime.

Cependant je ne sais pas si la majorité des attaques portent sur les applets (quoique).
Mais côté serveur (ex: Container de Servlets/EJB, Applications avec RMI ou connexions Inter JVM autre ?)

Cela me paraitrait plus facile d'attaquer par là car souvent une application est "désignée" pour une version de Java et on n'a toujours un peu les miquettes quand on change de version majeure ... De plus les Webapps "Out-of-the-box" ne manquent pas (ex: Jira, Hudson, Mantis ...) et souvent 1 version de l'appli implique une version de la JRE.

[AsteroHache]

Re

Les anciennes versions ne peuvent plus être utilisées que par des applications locales qui y font appel directement.

Ok, et lorsqu'on navigue avec la dernière version du JRE, est-ce qu'un malware pourrait exploiter la faille d'une ancienne version, dans le cas où celle-ci serait justement appelée par une application tierce?
edit: je pense à un exploit web qui ne pouvant pas exploiter la faille java du navigateur, puisqu'à jour, normalement..., irait exploiter la faille java trouvée justement de par le plug-in pas à jour lancé par une autre application...
car en terme de virus, faut quand même avouer que les hackers ont bien entendu toujours de l'avance, et sont "moitié" doués...

si oui, y'a donc gros risque.

Si non, supprimer les anciennes versions revient donc juste à du nettoyage... sans risque de se faire attaquer.

Merci pour les précisions.

[Elendhil]

C'est une bonne chose d'un sens, à force Oracle va peut être se décider à mettre par défaut les mises à jour automatisés et silencieuse.

La faute n'est pas entièrement d'Oracle vu que la majorité des hacks/trojan/virus ne sont pas dû à "des failles 0 days". Ce sont juste des jvm qui n'ont pas été mis à jour ...

Pour quelles raisons les utilisateurs ne font pas ces updates (c'est automatisé depuis longtemps) , pas facile à savoir.

Peut-être ils ne savent pas ce que sait donc refuse la mise à jour , ils n'ont pas les droits, le système est corrompu , n'ont jamais le temps on verra ça plus tard ...

En tout cas ce que fait Google avec Chrome a l'air d'être le plus efficace ne jamais demandé à l'utilisateur, 100% automatisé et invisible.

[ManusDei]

Pour quelles raisons les utilisateurs ne font pas ces updates (c'est automatisé depuis longtemps) , pas facile à savoir.

Simple, ils ne comprennent pas vraiment ce que c'est que cette histoire de Java et pourquoi le mettre à jour, ils le lancent jamais ce logiciel appellé "Java" (c'est un logiciel de musique, de danse ? ). Est-ce que ce truc c'est une vraie mise à jour, ou ça veut installer un virus ?

J'ai du nettoyer l'ordinateur de ma mère à cause de ça il y a peu de temps à cause de ça. J'aurais au moins découvert RogueKiller

[AsteroHache]

c'est donc un logiciel de musique ou de danse puisqu'il permet de découvrir Rock-Killer

Sur les pc que je vois, les gens ont peur de faire une connerie, et comme ils n'y connaissent rien, tout pendant que cela marche, ils ne font rien.
Aucune maj en fait...
+1 pour les maj silencieuses et forcées donc.

[Zefling]

En même temps si les gens savaient un peu plus quels plug-ins tournent sur leur navigateur... Sur ma machine, Java fait parti de ceux qui je n'active pas, comme la grande majorité des plug-ins, ça évite de se poser des questions déjà que je ne connais pas un seul site il est indispensable.

[Uther]

Mais côté serveur (ex: Container de Servlets/EJB, Applications avec RMI ou connexions Inter JVM autre ?)

C'est un cas assez différent quand même. Une applet permet de fournir directement des classes Java à exécuter sur la machine alors que le code Java exécuté sur les serveurs web n'est pas fourni par un tiers ou alors ça veut dire que le serveur a déjà été piraté.

Ok, et lorsqu'on navigue avec la dernière version du JRE, est-ce qu'un malware pourrait exploiter la faille d'une ancienne version, dans le cas où celle-ci serait justement appelée par une application tierce?

Non, on a bien deux VM séparée: une pour le navigateur avec la dernière version et une pour l'application qui utilise sa propre VM.

[Loceka]

+1 pour les maj silencieuses et forcées donc.

Je suis le seul à vouloir contrôler un minimum ce qui se passe sur mon PC (question réthorique, je sais que je ne suis pas le seul) ?

Personnellement je déteste quand une appli se met à jour sans mon consentement et encore plus de manière silencieuse.
D'autant que pour Java c'est dangereux pour les développeurs vu que ce n'est pas rare que les updates introduisent des bugs, ce qui est généralement mal pris par les clients...

[Uther]

Je dirais que ça dépend. J'aime aussi pouvoir contrôler mes updates, mais pour quelque chose d'aussi exposé aux attaques qu'un navigateur et ses plugins, la mise a jour automatique sans question devrait être le comportement par défaut.

Il faut voir qu'un navigateur est manipulé par des gens qui n'ont aucune idée des risques que constitue une non mise à jour, donc mieux vaut casser une application qu'ouvrir une brèche de sécurité, quitte à ce que les gens qui ont besoin d'une version précise, doivent faire une configuration spécifique pour continuer à l'utiliser.

[AsteroHache]

+1 @ Uther

les spécialistes sauront désactiver la maj, si possible. A l'éditeur de le prévoir.
Et les utilisateurs "basiques" seront à jour.

Tout le monde est content.

Merci pour ton info Uther sur les VM, donc pas de risque si les anciennes versions sont présentes