Discussion :

[Hinault Romaric]

Java : plus de la moitié des entreprises ont plus de 50 versions de la plateforme installées
une aubaine pour les pirates ?

Java fait actuellement face à une faille de sécurité critique dans l’API Reflector permettant de réussir des attaques basiques de plus de 10 ans.

Parallèlement à la découverte de cette nouvelle vulnérabilité, le cabinet de sécurité Bit9 a mené une enquête sur Java et ses vulnérabilités.

Les conclusions sont alarmantes. Les risques de sécurité liés à l’utilisation de la plateforme de développement populaire sont à partager entre Oracle et les utilisateurs.

Java est tellement omniprésent dans l’écosystème des entreprises, qui sont extrêmement inefficaces dans la gestion des mises à jour et la suppression des anciennes versions, que celles-ci sont des proies faciles pour les pirates.

L’enquête a permis de constater que plus de la moitié des organisations de l’étude avaient plus de 50 versions de Java installées sur leurs équipements. 5 % de ces entreprises auraient plus de 100 versions de Java installées.

La principale cause de cette multiplicité de versions sur un terminal serait liée à la mauvaise compréhension des termes « mise à jour » et « mise à niveau ». « Au cours des 15 dernières années, les administrateurs ont été soumis à la perception erronée des mises à jour. On leur a dit que pour améliorer la sécurité, ils doivent en permanence et de manière agressive déployer les mises à jour Java », explique Harry Sverdlove, directeur de Bit9.

D’après Bit9, le processus de publication des mises à jour Java n’apporte pas la sécurité attendue, car les versions affectées par les failles corrigées ne sont pas supprimées. Conséquence : les équipements des entreprises restent toujours hautement vulnérables.

La version la plus populaire de Java (Java 6 Update 20), encore utilisée par 82 % des entreprises de l’étude, dispose de près de 96 vulnérabilités, selon Bit9, qui souligne que celles-ci sont étiquetées comme de « gravité élevée ».

L’enquête de Bit9 est basée sur une analyse des statistiques de déploiement de Java sur environ 1 million de systèmes des centaines d’entreprises à travers le monde.

Cette étude rejoint celle de WebSence publiée en mars dernier, qui concluait que 94 % des terminaux utilisant Java sont vulnérables à un exploit au minimum sur le JRE. Selon WebSence, trois machines sur quatre utiliseraient un JRE vieux d’au moins six mois.


Source : Bit9


Et vous ?

Qu’en pensez-vous ? Plusieurs versions de Java sont-elles installées sur les systèmes de votre entreprise ?

Les entreprises ne sont-elles pas les premières à s’exposer par un manque de gestion efficace des mises à jour ?

[Voyvode]

Le problème c'est que, pendant longtemps, les nouvelles updates de Java ne supprimaient pas les anciennes. Je n'ai jamais compris ce comportement, l'API ne change pas d'une update à l'autre et donc la compatibilité entre deux updates est souvent totale (sauf quelques très rares exceptions comme Java 6 update 10).

Le système de mise à jour devrait centraliser la gestion des versions. Par exemple : un canal current qui ne conserve que la dernière version et des canaux legacy qui peuvent être installés pour des besoins de compatibilité (accompagnés des mises en garde qui s'imposent).

[Etre_Libre]

Notons aussi que pour l'instant, les mises à jour Java ne sont toujours pas automatiques ni silencieuses, elles n'arrêtent pas de demander à l'utilisateur (+ toolbar de publicité) et généralement les gens cliquent sur "plus tard".

Malheureusement Flash a un peu régressé à ce niveau là : bien que les mises à jour mineures semblent pouvoir être automatiques et silencieuses, dès qu'il y a une nouvelle version "majeure" (souvent ces temps-ci) eh bien ça demande à l'utilisateur...

Néanmoins, Adobe Reader me semble mieux conçu pour ça : une fois qu'on a bien Adobe Reader 11, les mises à jour mineures (pas fréquentes) s'installent toutes seules.

Enfin, pour en revenir à Java : beaucoup de gens ne savent pas à quoi il sert, et la plupart n'ont aucune application le nécessitant : maintenant je l'enlève de beaucoup d'ordinateurs.

[Philippe Bastiani]

Le fait, qu'il y ait plusierus JREs installées n'indique aucunément que plusiieurs JRE soient exploitées sur un même poste de travail... une seule JRE n'est active par défaut... et, à moins d'avoir des scripts qui choisissent une version particulière c'est la version par défaut qui est lancée ! Par contre, on peut s'exposer, à une application malveillante qui changerait ce réglage de la JRE active dans l'OS hôte ! mais bon...

a+
Philippe

[tchize_]

et, à moins d'avoir des scripts qui choisissent une version particulière c'est la version par défaut qui est lancée ! Par contre, on peut s'exposer, à une application malveillante qui changerait ce réglage de la JRE active dans l'OS hôte ! mais bon...

a+
Philippe

Les applications javawebstart peuvent préciser quelle version, jusqu'au numéro mineur, il faut utiliser. Et webstart, comme un gr(l)and l'installe joyeusement.... Je suis curieux de voir si on peux forcer webstart à installer une ancienne jvm avec des trous de sécurité...