Java : nouvelle cible privilégiée des hackers
Faute d'une réelle politique de protection selon des experts
Le constat est alarmant ! Les vulnérabilités liées à la plateforme Java sont en augmentation selon Jason Jones, un chercheur en sécurité qui présentera les derniers résultats de ses travaux ce mardi, à la conférence Black Hat USA 2012.
Jones a surveillé le développement de quelques toolkits d'exploits Web des plus utilisés, tels que BlackHole et Phoenix, ce qui lui a permis d'en arriver à cette conclusion inquiétante. Et la situation pourrait s'aggraver davantage, met en garde l'expert en sécurité, si Oracle ne met pas en place une réelle politique de protection des produits, avec des mises à jour constantes.
On le sait, les plug-ins des navigateurs, tels que Flash Player ou Acrobat Reader, sont la cible privilégiée des hackers. Mais les exploits récents témoigneraient d'un ciblage de plus en plus prononcé des plug-ins Java, du fait d'une plus grande probabilité de succès des attaques, estimée à 80 % par Jason Jones, par ailleurs collaborateur à HP DVLabs (Hewlett-Packard's vulnerability research division).
D'autres, comme Carsten Eiram (expert en sécurité à Secunia), reprochent à Oracle de ne pas avoir introduit un cycle de développement de sécurité (SDL). Ce processus a permis à Adobe de faire décroître significativement le nombre d'attaques sur ses produits Flash Player et Adobe Acrobat, avec des mises à jour régulières et automatiques.
De fait, les utilisateurs de Java ne se mettent pas régulièrement à jour, ce qui laisse la place libre aux hackers. Java serait ainsi en phase de remplacer Flash en tant que cible privilégiée des vulnérabilités zero-day. Même si des mécanismes d'isolation (ou Sandboxing) existent au sein de Java, une faille minime dans ce système peut s'avérer fatale, selon Eiram.
Des fonctionnalités des navigateurs peuvent éviter à l'utilisateur des risques majeurs, tel que le click-to-play, qui empêche l'exécution automatique des contenus basés sur des plug-ins.
Certains vont jusqu'à conseiller à l'utilisateur de supprimer intégralement le plug-in Java, moins utilisé que d'autres dans la navigation quotidienne. Mais cela n'est pas envisageable dans le cercle des professionnels. Selon Eiram, certaines banques utilisent encore Java en interne pour leurs plateformes de E-Banking.
Source :
CSO
Et vous ?
Partagez-vous l'avis de ces experts ?
Quelle politique de protection devrait mettre en place Oracle selon vous ?
Partager