IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Java Discussion :

Java : plus de la moitié des entreprises ont plus de 50 versions de la plateforme installées


Sujet :

Java

  1. #1
    Responsable .NET

    Avatar de Hinault Romaric
    Homme Profil pro
    Consultant
    Inscrit en
    janvier 2007
    Messages
    4 570
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : janvier 2007
    Messages : 4 570
    Points : 252 332
    Points
    252 332
    Billets dans le blog
    118
    Par défaut Java : plus de la moitié des entreprises ont plus de 50 versions de la plateforme installées
    Java : plus de la moitié des entreprises ont plus de 50 versions de la plateforme installées
    une aubaine pour les pirates ?

    Java fait actuellement face à une faille de sécurité critique dans l’API Reflector permettant de réussir des attaques basiques de plus de 10 ans.

    Parallèlement à la découverte de cette nouvelle vulnérabilité, le cabinet de sécurité Bit9 a mené une enquête sur Java et ses vulnérabilités.

    Les conclusions sont alarmantes. Les risques de sécurité liés à l’utilisation de la plateforme de développement populaire sont à partager entre Oracle et les utilisateurs.

    Java est tellement omniprésent dans l’écosystème des entreprises, qui sont extrêmement inefficaces dans la gestion des mises à jour et la suppression des anciennes versions, que celles-ci sont des proies faciles pour les pirates.

    L’enquête a permis de constater que plus de la moitié des organisations de l’étude avaient plus de 50 versions de Java installées sur leurs équipements. 5 % de ces entreprises auraient plus de 100 versions de Java installées.




    La principale cause de cette multiplicité de versions sur un terminal serait liée à la mauvaise compréhension des termes « mise à jour » et « mise à niveau ». « Au cours des 15 dernières années, les administrateurs ont été soumis à la perception erronée des mises à jour. On leur a dit que pour améliorer la sécurité, ils doivent en permanence et de manière agressive déployer les mises à jour Java », explique Harry Sverdlove, directeur de Bit9.

    D’après Bit9, le processus de publication des mises à jour Java n’apporte pas la sécurité attendue, car les versions affectées par les failles corrigées ne sont pas supprimées. Conséquence : les équipements des entreprises restent toujours hautement vulnérables.

    La version la plus populaire de Java (Java 6 Update 20), encore utilisée par 82 % des entreprises de l’étude, dispose de près de 96 vulnérabilités, selon Bit9, qui souligne que celles-ci sont étiquetées comme de « gravité élevée ».

    L’enquête de Bit9 est basée sur une analyse des statistiques de déploiement de Java sur environ 1 million de systèmes des centaines d’entreprises à travers le monde.

    Cette étude rejoint celle de WebSence publiée en mars dernier, qui concluait que 94 % des terminaux utilisant Java sont vulnérables à un exploit au minimum sur le JRE. Selon WebSence, trois machines sur quatre utiliseraient un JRE vieux d’au moins six mois.


    Source : Bit9


    Et vous ?

    Qu’en pensez-vous ? Plusieurs versions de Java sont-elles installées sur les systèmes de votre entreprise ?

    Les entreprises ne sont-elles pas les premières à s’exposer par un manque de gestion efficace des mises à jour ?
    Vous souhaitez participer aux rubriques .NET ? Contactez-moi

    Si déboguer est l’art de corriger les bugs, alors programmer est l’art d’en faire
    Mon blog, Mes articles, Me suivre sur Twitter
    En posant correctement votre problème, on trouve la moitié de la solution

  2. #2
    Membre émérite
    Avatar de Voyvode
    Profil pro
    Inscrit en
    mars 2007
    Messages
    475
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mars 2007
    Messages : 475
    Points : 2 627
    Points
    2 627
    Par défaut
    Le problème c'est que, pendant longtemps, les nouvelles updates de Java ne supprimaient pas les anciennes. Je n'ai jamais compris ce comportement, l'API ne change pas d'une update à l'autre et donc la compatibilité entre deux updates est souvent totale (sauf quelques très rares exceptions comme Java 6 update 10).

    Le système de mise à jour devrait centraliser la gestion des versions. Par exemple : un canal current qui ne conserve que la dernière version et des canaux legacy qui peuvent être installés pour des besoins de compatibilité (accompagnés des mises en garde qui s'imposent).

  3. #3
    Membre éprouvé Avatar de Etre_Libre
    Profil pro
    Inscrit en
    juillet 2010
    Messages
    749
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : juillet 2010
    Messages : 749
    Points : 999
    Points
    999
    Par défaut
    Notons aussi que pour l'instant, les mises à jour Java ne sont toujours pas automatiques ni silencieuses, elles n'arrêtent pas de demander à l'utilisateur (+ toolbar de publicité) et généralement les gens cliquent sur "plus tard".

    Malheureusement Flash a un peu régressé à ce niveau là : bien que les mises à jour mineures semblent pouvoir être automatiques et silencieuses, dès qu'il y a une nouvelle version "majeure" (souvent ces temps-ci) eh bien ça demande à l'utilisateur...

    Néanmoins, Adobe Reader me semble mieux conçu pour ça : une fois qu'on a bien Adobe Reader 11, les mises à jour mineures (pas fréquentes) s'installent toutes seules.

    Enfin, pour en revenir à Java : beaucoup de gens ne savent pas à quoi il sert, et la plupart n'ont aucune application le nécessitant : maintenant je l'enlève de beaucoup d'ordinateurs.

  4. #4
    Membre éprouvé

    Homme Profil pro
    Architecte technique
    Inscrit en
    juin 2005
    Messages
    588
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Essonne (Île de France)

    Informations professionnelles :
    Activité : Architecte technique
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : juin 2005
    Messages : 588
    Points : 1 227
    Points
    1 227
    Par défaut
    Le fait, qu'il y ait plusierus JREs installées n'indique aucunément que plusiieurs JRE soient exploitées sur un même poste de travail... une seule JRE n'est active par défaut... et, à moins d'avoir des scripts qui choisissent une version particulière c'est la version par défaut qui est lancée ! Par contre, on peut s'exposer, à une application malveillante qui changerait ce réglage de la JRE active dans l'OS hôte ! mais bon...

    a+
    Philippe

  5. #5
    Expert éminent sénior
    Avatar de tchize_
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    avril 2007
    Messages
    25 481
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 42
    Localisation : Belgique

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : avril 2007
    Messages : 25 481
    Points : 48 794
    Points
    48 794
    Par défaut
    Citation Envoyé par Philippe Bastiani Voir le message
    et, à moins d'avoir des scripts qui choisissent une version particulière c'est la version par défaut qui est lancée ! Par contre, on peut s'exposer, à une application malveillante qui changerait ce réglage de la JRE active dans l'OS hôte ! mais bon...

    a+
    Philippe
    Les applications javawebstart peuvent préciser quelle version, jusqu'au numéro mineur, il faut utiliser. Et webstart, comme un gr(l)and l'installe joyeusement.... Je suis curieux de voir si on peux forcer webstart à installer une ancienne jvm avec des trous de sécurité...

Discussions similaires

  1. Réponses: 2
    Dernier message: 29/07/2014, 15h12
  2. Apple en tête des entreprises les plus admirées au monde
    Par Francis Walter dans le forum Forum général Solutions d'entreprise
    Réponses: 3
    Dernier message: 05/03/2014, 00h44
  3. Réponses: 13
    Dernier message: 22/03/2012, 17h26
  4. Réponses: 0
    Dernier message: 19/04/2011, 17h36
  5. Près de 70% des entreprises ont été attaquées en 2010
    Par Katleen Erna dans le forum Actualités
    Réponses: 3
    Dernier message: 18/10/2010, 18h01

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo