IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Près de la moitié des attaques exploitent des failles de Java par défaut de mises à jour


Sujet :

Sécurité

  1. #1
    Expert éminent sénior
    Avatar de Idelways
    Homme Profil pro
    Développeur Ruby on Rails / iOS
    Inscrit en
    Juin 2010
    Messages
    1 374
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations professionnelles :
    Activité : Développeur Ruby on Rails / iOS

    Informations forums :
    Inscription : Juin 2010
    Messages : 1 374
    Points : 68 548
    Points
    68 548
    Par défaut Près de la moitié des attaques exploitent des failles de Java par défaut de mises à jour
    Près de la moitié des attaques exploitent des failles de Java
    Par défaut de mises à jour, d'après le rapport Security Intelligence de Microsoft



    Les exploits contre la sécurité informatique durant la première moitié de 2011 étaient en grande partie associés aux vulnérabilités de la famille de produits Java, la technologie maintenue par Oracle.

    Le rapport Security Intelligence de Microsoft souligne en effet un record : entre le tiers et la moitié des exploits sont dus à des failles dans l'environnement d'exécution (JRE), la machine virtuelle (JVM) et le JDK.



    Oracle ne tarde pas outre mesure à proposer des correctifs ; le problème réside plutôt dans leur propagation, diagnostique Tim Rains, directeur du groupe Trustworthy Computing à Microsoft.

    « Plusieurs des failles Java les plus communément exploitées sont anciennes, et avaient eu des mises à jour de sécurité depuis des années ». Ainsi, les solutions utilisées par les attaquants servent longtemps, car les attaquants qui développent, ou rachètent des kits de piratage, continuent d'obtenir un retour positif sur investissement, observe Tim Rains.

    À titre d'exemple, la faille la plus exploitée (CVE-2010-0840, touchant le JRE) a été corrigée en mars 2010 et a attendu le dernier trimestre de la même année pour gagner en popularité auprès des hackers malintentionnés.

    La problématique est d'autant plus exacerbée que bien souvent, plusieurs versions majeures de l'environnement d'exécution du langage cohabitent sur une même machine (en fonction des solutions qui réclament leur présence).

    Le rapport de Microsoft repose sur le nombre d'exploits arrêtés par sa solution antimalware, ayant bloqué 27.5 millions d'attaques sur les 12 derniers mois.

    Si Tim Rains préfère insister sur la nécessité des mises à jour auprès des utilisateurs et sysadmins, Chester Wisniewski de Sophos va d'emblée jusqu'à conseiller de se passer de Java : « la plupart des personnes n'utilisent pas Java de nos jours, et ça [ne pas installer Java] réduit la surface d'attaque en provenance d'Internet », affirme-t-il.

    Les développeurs Java, le langage de programmation le plus populaire, apprécieront !

    Télécharger le rapport

    Sources :
    Blog officiel de la sécurité Microsoft
    Blog de Sophos Security

    Et vous ?

    Que pensez-vous de la situation que dépeint ce rapport ?
    Faut-il déconseiller l'installation de Java comme le suggère le responsable de Sophos ?

  2. #2
    Membre éprouvé

    Homme Profil pro
    Directeur des systèmes d'information
    Inscrit en
    Septembre 2010
    Messages
    450
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Val d'Oise (Île de France)

    Informations professionnelles :
    Activité : Directeur des systèmes d'information

    Informations forums :
    Inscription : Septembre 2010
    Messages : 450
    Points : 1 073
    Points
    1 073
    Par défaut
    Les développeurs Java, le langage de programmation le plus populaire, apprécieront !
    Je suis dev Java, et je ne suis pas étonné. Comme dit dans la news, ces attaques utilisent des vieilles failles. C'est de la responsabilité de tout admin d'assurer la MAJ des systèmes.

    De plus, on peut configurer Java pour refuser d’exécuter les applications d'origine non sûr.

    De la lecture: http://www.java.com/fr/download/faq/tips.xml

    On peut pourrir n'importe quel système avec n'importe quel langage si l'admin laisse exécuter des applications venant de n'importe où.

    Bref, les mises à jour de l'environnement et le blocage des applis non signées par une autorité reconnue fiable, c'est la base.
    Si vous moinsez, merci de répondre pour argumenter!
    Ma présentation

  3. #3
    Nouveau membre du Club
    Inscrit en
    Mai 2007
    Messages
    5
    Détails du profil
    Informations forums :
    Inscription : Mai 2007
    Messages : 5
    Points : 29
    Points
    29
    Par défaut
    En regardant 30 secondes le graphique moi ce qui me choque c'est la progression sur le dernier Quadrimestre pour les OS.

    Ce bon gros troll ne servirais pas a cacher ça par hasard?

  4. #4
    Membre chevronné
    Profil pro
    Inscrit en
    Octobre 2005
    Messages
    940
    Détails du profil
    Informations personnelles :
    Âge : 44
    Localisation : France

    Informations forums :
    Inscription : Octobre 2005
    Messages : 940
    Points : 1 816
    Points
    1 816
    Par défaut
    Si la mise à jour de Java se lance pendant qu'on utilise un compte utilisateur (çad pas administrateur), elle demande un mot de passe administrateur. Après quoi elle échoue. Elle ne fonctionne que si on est connecté directement avec un compte administrateur.

    Ce bogue inacceptable persiste depuis des années. Je ne m'étonne donc pas que la plupart des installations de Java ne soient pas à jour.

    Et oui, je suis développeur java.

  5. #5
    Membre éprouvé

    Homme Profil pro
    Directeur des systèmes d'information
    Inscrit en
    Septembre 2010
    Messages
    450
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Val d'Oise (Île de France)

    Informations professionnelles :
    Activité : Directeur des systèmes d'information

    Informations forums :
    Inscription : Septembre 2010
    Messages : 450
    Points : 1 073
    Points
    1 073
    Par défaut
    Citation Envoyé par saccoche Voir le message
    En regardant 30 secondes le graphique moi ce qui me choque c'est la progression sur le dernier Quadrimestre pour les OS.

    Ce bon gros troll ne servirais pas a cacher ça par hasard?
    C'est surement explicable par les OS Mobiles iOS et Android qui sont en forte croissance et qui sont victimes d'attaques.
    Si vous moinsez, merci de répondre pour argumenter!
    Ma présentation

  6. #6
    Membre du Club
    Développeur informatique
    Inscrit en
    Janvier 2009
    Messages
    51
    Détails du profil
    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Janvier 2009
    Messages : 51
    Points : 50
    Points
    50
    Par défaut
    Vu le graphique, bien sur que Java subit plusieurs failles de Sécurité. mais par contre on voit aussi une progression importante de faille de sécurité coté OS.

    j'aimerais avoir un rapport de failles de sécurité sur différents OS.

  7. #7
    Membre confirmé
    Avatar de Kalite
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Octobre 2006
    Messages
    310
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Essonne (Île de France)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Octobre 2006
    Messages : 310
    Points : 553
    Points
    553
    Par défaut
    Citation Envoyé par YannPeniguel Voir le message
    C'est surement explicable par les OS Mobiles iOS et Android qui sont en forte croissance et qui sont victimes d'attaques.
    Il s'agit d'un rapport de microsoft arrêté par sa solution antimalware qui, si je ne m'abuse, est uniquement disponible sous Windows. Donc, il n'y a pas les OS mobiles.

    Ce qui me fait conclure, au vu de la progression, le code de Windows est plein de faille qui ne sont en cours d'exploitation par les Hacker.

  8. #8
    Membre éprouvé

    Homme Profil pro
    Directeur des systèmes d'information
    Inscrit en
    Septembre 2010
    Messages
    450
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Val d'Oise (Île de France)

    Informations professionnelles :
    Activité : Directeur des systèmes d'information

    Informations forums :
    Inscription : Septembre 2010
    Messages : 450
    Points : 1 073
    Points
    1 073
    Par défaut
    Citation Envoyé par Kalite Voir le message
    Il s'agit d'un rapport de microsoft arrêté par sa solution antimalware qui, si je ne m'abuse, est uniquement disponible sous Windows. Donc, il n'y a pas les OS mobiles.

    Ce qui me fait conclure, au vu de la progression, le code de Windows est plein de faille qui ne sont en cours d'exploitation par les Hacker.
    Il y a un windows mobile.

    Et si tu lis le rapport:

    The information in this section is compiled from vulnerability disclosure data that is published in the National Vulnerability Database (http://nvd.nist.gov), the U.S. government repository of standards-based vulnerability management. It represents all disclosures that have a CVE (Common Vulnerabilities and Exposures) number.
    Les données exploitées par ce rapport ne sont pas que spécifiques à Microsoft et Windows. Tu y trouves donc aussi les vulnérabilités sur GNU/Linux, Mac OS, iOS....
    Si vous moinsez, merci de répondre pour argumenter!
    Ma présentation

  9. #9
    Inactif  


    Homme Profil pro
    Inscrit en
    Novembre 2008
    Messages
    5 288
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 48
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Secteur : Santé

    Informations forums :
    Inscription : Novembre 2008
    Messages : 5 288
    Points : 15 620
    Points
    15 620
    Par défaut
    Question d'un péon en java : est ce que les mises à jour sont disponibles sur toutes les OS, en particulier win 2000 et win Xp ?
    Si les mises à jour passent pas sur d'anciens systèmes, ce n'est peut être pas étonnant comme chiffres.
    Et +1 pour le problème de droit d’administrateur (mais c'est peut être aussi un problème d'administrateur qui ne fait pas les mises à jour de son parc)

  10. #10
    Membre confirmé
    Avatar de Kalite
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Octobre 2006
    Messages
    310
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Essonne (Île de France)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Octobre 2006
    Messages : 310
    Points : 553
    Points
    553
    Par défaut
    Citation Envoyé par YannPeniguel Voir le message
    Les données exploitées par ce rapport ne sont pas que spécifiques à Microsoft et Windows. Tu y trouves donc aussi les vulnérabilités sur GNU/Linux, Mac OS, iOS....
    Je retire donc ce que j'ai dit.Cependant, dans l'article ce n'est pas préciser et l'information que je cite précédemment porte a confusion.

  11. #11
    Membre éprouvé

    Homme Profil pro
    Directeur des systèmes d'information
    Inscrit en
    Septembre 2010
    Messages
    450
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Val d'Oise (Île de France)

    Informations professionnelles :
    Activité : Directeur des systèmes d'information

    Informations forums :
    Inscription : Septembre 2010
    Messages : 450
    Points : 1 073
    Points
    1 073
    Par défaut
    Citation Envoyé par Kalite Voir le message
    Je retire donc ce que j'ai dit.Cependant, dans l'article ce n'est pas préciser et l'information que je cite précédemment porte a confusion.
    La news cite furtivement une vulnérabilité avec un numéro CVE. Mais il faut savoir ce qu'est le CVE, ce qui n'était pas très clair.

    Citation Envoyé par gbdivers Voir le message
    Question d'un péon en java : est ce que les mises à jour sont disponibles sur toutes les OS, en particulier win 2000 et win Xp ?
    Si les mises à jour passent pas sur d'anciens systèmes, ce n'est peut être pas étonnant comme chiffres.
    Et +1 pour le problème de droit d’administrateur (mais c'est peut être aussi un problème d'administrateur qui ne fait pas les mises à jour de son parc)
    Pour java 6: http://www.oracle.com/technetwork/ja...ns-135212.html
    Pour le nouveau java 7: http://docs.oracle.com/javase/7/docs...uirements.html

    A priori, c'est du 2000+ pour java 6, et du XP+ pour java 7.
    Si vous moinsez, merci de répondre pour argumenter!
    Ma présentation

  12. #12
    Expert confirmé Avatar de fregolo52
    Homme Profil pro
    Développeur C
    Inscrit en
    Août 2004
    Messages
    2 364
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Développeur C

    Informations forums :
    Inscription : Août 2004
    Messages : 2 364
    Points : 5 378
    Points
    5 378
    Par défaut
    Citation Envoyé par gbdivers Voir le message
    Question d'un péon en java : est ce que les mises à jour sont disponibles sur toutes les OS, en particulier win 2000 et win Xp ?
    Si les mises à jour passent pas sur d'anciens systèmes, ce n'est peut être pas étonnant comme chiffres.
    Il n'y a pas que ça comme problème avec Java. Lorsqu'une DSI valide une version de JRE, elle peut rester très longtemps sur les systèmes. Idem pour les gros progiciels.
    On ne peux pas dire que Java soit compatible avec le terme compatibilité ascendante.
    J'en ai fait d'expérience il y a environ 1an : mise à jour de la JRE, et hop !!! Le logiciel ne marche plus.

    Donc, oui, des vieilles versions java traînent ("volontairement") sur les PC (d'entreprise), c'est donc d'autant plus facile d'exploiter les failles.

  13. #13
    Membre éprouvé

    Homme Profil pro
    Directeur des systèmes d'information
    Inscrit en
    Septembre 2010
    Messages
    450
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Val d'Oise (Île de France)

    Informations professionnelles :
    Activité : Directeur des systèmes d'information

    Informations forums :
    Inscription : Septembre 2010
    Messages : 450
    Points : 1 073
    Points
    1 073
    Par défaut
    Citation Envoyé par fregolo52 Voir le message
    Donc, oui, des vieilles versions java traînent ("volontairement") sur les PC (d'entreprise), c'est donc d'autant plus facile d'exploiter les failles.
    Tu peux en dire autant de toutes les applications utilisées par les grosses boites qui font valider par la DSI.

    Les navigateurs ne sont pas à jour, les OS des serveurs non plus, les serveurs applicatifs non plus, rien n'est à jour. Ce n'est pas un problème spécifique à Java.
    Si vous moinsez, merci de répondre pour argumenter!
    Ma présentation

  14. #14
    Membre chevronné
    Avatar de la.lune
    Homme Profil pro
    Directeur Technique
    Inscrit en
    Décembre 2010
    Messages
    545
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Comores

    Informations professionnelles :
    Activité : Directeur Technique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Décembre 2010
    Messages : 545
    Points : 2 084
    Points
    2 084
    Par défaut Une alerte qui incite à la vigilance
    C'est vraiment intéressante ça! Je dirais plutôt que c'est une alerte à la vigilance et non pas un découragement envers ce lagunage qu'on a le goût de développer avec.

    Et bien la sécurité c'est tout un travail. Il faut la mettre en place.

    "L’ingénierie social est le point fort dans la réussite un processus de sécurité". Les administrateurs doivent prendre les mesures disponibles pour éviter ces failles.Tout est là il suffit de consommer.

    "Sans échec, pas de morale" Simone de Beauvoir

    Il faut que tout soit mis a jour ,il faut paramétrer le JRE à ne pas exécuter des programmes venant de source inconnu. Il ne faut pas laisser exécuter n'importe quoi dans vos systèmes. Il faut signer les applis auprès des tiers fiables reconnu internationalement.

    Et oui un peu de vigilance!

Discussions similaires

  1. Réponses: 0
    Dernier message: 30/11/2011, 10h51
  2. Réponses: 23
    Dernier message: 08/07/2010, 00h40
  3. Réponses: 4
    Dernier message: 02/04/2008, 18h51
  4. Réponses: 3
    Dernier message: 13/09/2007, 19h11
  5. Réponses: 3
    Dernier message: 23/01/2007, 09h14

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo