Java : plus de la moitié des entreprises ont plus de 50 versions de la plateforme installées
une aubaine pour les pirates ?

Java fait actuellement face à une faille de sécurité critique dans l’API Reflector permettant de réussir des attaques basiques de plus de 10 ans.

Parallèlement à la découverte de cette nouvelle vulnérabilité, le cabinet de sécurité Bit9 a mené une enquête sur Java et ses vulnérabilités.

Les conclusions sont alarmantes. Les risques de sécurité liés à l’utilisation de la plateforme de développement populaire sont à partager entre Oracle et les utilisateurs.

Java est tellement omniprésent dans l’écosystème des entreprises, qui sont extrêmement inefficaces dans la gestion des mises à jour et la suppression des anciennes versions, que celles-ci sont des proies faciles pour les pirates.

L’enquête a permis de constater que plus de la moitié des organisations de l’étude avaient plus de 50 versions de Java installées sur leurs équipements. 5 % de ces entreprises auraient plus de 100 versions de Java installées.




La principale cause de cette multiplicité de versions sur un terminal serait liée à la mauvaise compréhension des termes « mise à jour » et « mise à niveau ». « Au cours des 15 dernières années, les administrateurs ont été soumis à la perception erronée des mises à jour. On leur a dit que pour améliorer la sécurité, ils doivent en permanence et de manière agressive déployer les mises à jour Java », explique Harry Sverdlove, directeur de Bit9.

D’après Bit9, le processus de publication des mises à jour Java n’apporte pas la sécurité attendue, car les versions affectées par les failles corrigées ne sont pas supprimées. Conséquence : les équipements des entreprises restent toujours hautement vulnérables.

La version la plus populaire de Java (Java 6 Update 20), encore utilisée par 82 % des entreprises de l’étude, dispose de près de 96 vulnérabilités, selon Bit9, qui souligne que celles-ci sont étiquetées comme de « gravité élevée ».

L’enquête de Bit9 est basée sur une analyse des statistiques de déploiement de Java sur environ 1 million de systèmes des centaines d’entreprises à travers le monde.

Cette étude rejoint celle de WebSence publiée en mars dernier, qui concluait que 94 % des terminaux utilisant Java sont vulnérables à un exploit au minimum sur le JRE. Selon WebSence, trois machines sur quatre utiliseraient un JRE vieux d’au moins six mois.


Source : Bit9


Et vous ?

Qu’en pensez-vous ? Plusieurs versions de Java sont-elles installées sur les systèmes de votre entreprise ?

Les entreprises ne sont-elles pas les premières à s’exposer par un manque de gestion efficace des mises à jour ?