IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Java serait le programme le plus exposé aux risques de sécurité


Sujet :

Sécurité

  1. #1
    Expert éminent sénior

    Homme Profil pro
    Développeur informatique
    Inscrit en
    Septembre 2014
    Messages
    194
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Algérie

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : Enseignement

    Informations forums :
    Inscription : Septembre 2014
    Messages : 194
    Points : 12 291
    Points
    12 291
    Par défaut Java serait le programme le plus exposé aux risques de sécurité
    Sécurité : Java serait le programme le plus exposé aux attaques
    Suivi par QuickTime, Adobe Reader, VLC et .Net Framework

    Selon un rapport de la firme de sécurité Secunia, les chiffres récoltés par leur logiciel d'inspection durant le dernier trimestre de l'année 2014 montrent que Java est le programme le plus exposé aux risques de sécurité. En effet, dans les USA par exemple, 48% des utilisateurs n'exécuteraient pas la dernière version du JRE, malgré la disponibilité de nouvelles mises à jour. Ce taux s'élève à 51% en Allemagne contre 42% pour le Royaume-Uni.

    Le fait que ce programme soit le plus exposé aux attaques ne veut pas dire qu'il contient forcément un grand nombre de vulnérabilités. C'est juste qu'il possède le plus grand taux de pénétration puisqu'il est installé sur 65% des ordinateurs aux USA. Le 2ème logiciel le plus exposé aux risques est QuickTime, suivi d'Adobe Reader. Ce dernier ne prend que la 4ème position au Royaume-Uni, VLC étant le 3ème. Pour la suite du classement on trouve Microsoft .NET framework 2.x, 3.x et 4.x ainsi qu'Internet Explorer 11.x.

    Liste des 10 applications les plus exposées aux risques de sécurité durant le dernier trimestre de 2014 selon les données récoltées aux USA par le logiciel Personal Software Inspector (source : Secunia)


    Les chiffres récoltés par Secunia montrent aussi que les ordinateurs aux USA comportent en moyenne 76 programmes dont 41% sont des produits Microsoft. Ces derniers étaient à l'origine de 47% des failles de sécurités entre janvier et septembre 2014 alors que les vulnérabilités causées par le système d'exploitation lui-même tournaient autour de 6%. Aussi, l'étude montre que 12,9% des utilisateurs américains ne mettent pas à jour leur système d'exploitation ce qui augmenterait les risques.

    Quant aux applications qui n'ont plus de mises à jour de sécurité disponibles à cause de leur fin de support, elles auraient un taux de pénétration de 5,7%. Flash Player 15 par exemple, reste installé sur 73% des ordinateurs américains et 79% au Royaume-Uni, malgré qu'il ne soit plus maintenu par Abode.

    À remarquer que tous ces chiffres sont basés sur les données des millions d'utilisateurs du logiciel Personal Software Inspector (PSI) de Secunia destiné seulement à une utilisation privée. Toutefois, « il n'y a aucune raison de supposer que ces résultats seraient différents s'ils avaient été collectés sur des ordinateurs d'entreprises », déclare Kasper Lingaard, le directeur de recherche de Secunia.

    Source : Secunia

    Et vous ?

    Mettez-vous fréquemment à jour vos applications et système d'exploitation ?

    Que pensez-vous des résultats de l'étude ?

  2. #2
    Membre régulier
    Homme Profil pro
    Étudiant
    Inscrit en
    Janvier 2015
    Messages
    97
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : Algérie

    Informations professionnelles :
    Activité : Étudiant
    Secteur : Bâtiment Travaux Publics

    Informations forums :
    Inscription : Janvier 2015
    Messages : 97
    Points : 91
    Points
    91
    Par défaut
    le sucées d'un langages n'est pas de tout repos , il est cibler a cause de son adoption massif , les gens exploite les failles des outils les plus connu pour cibler la grande majorité

  3. #3
    Membre émérite
    Avatar de Voyvode
    Profil pro
    Inscrit en
    Mars 2007
    Messages
    476
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Mars 2007
    Messages : 476
    Points : 2 678
    Points
    2 678
    Par défaut
    Sauf que Java 7 est bientôt en fin de vie et sera remplacé automatiquement par Java 8. Les parts de marché de la version 7 devraient s’effondrer d’ici un mois.

  4. #4
    Membre expérimenté Avatar de dfiad77pro
    Homme Profil pro
    Responsable Architecture logicielle
    Inscrit en
    Décembre 2008
    Messages
    541
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 35
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Responsable Architecture logicielle
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Décembre 2008
    Messages : 541
    Points : 1 729
    Points
    1 729
    Par défaut
    Citation Envoyé par Voïvode Voir le message
    Sauf que Java 7 est bientôt en fin de vie et sera remplacé automatiquement par Java 8. Les parts de marché de la version 7 devraient s’effondrer d’ici un mois.
    dans ma boite ( pourtant une grosse boite), sur les postes utilisateurs ( soient 8400 postes) il y'a par défaut une version de java 1.6 avec des updates datant de 2009...
    par contre sur les serveurs c'est un peu mieux...


    Donc le java 1.8 en standard d'ici 1 mois, je n'y crois pas du tout.
    Pour le grand publique,
    Si oracle était en bon terme avec microsoft et respectaient les standards d'installation sur Windows , ils pourraient proposer leur java sur windows Update

  5. #5
    Membre averti
    Inscrit en
    Octobre 2005
    Messages
    135
    Détails du profil
    Informations forums :
    Inscription : Octobre 2005
    Messages : 135
    Points : 391
    Points
    391
    Par défaut
    Toutefois, « il n'y a aucune raison de supposer que ces résultats seraient différents s'ils avaient été collectés sur des ordinateurs d'entreprises », déclare Kasper Lingaard, le directeur de recherche de Secunia.
    Vue le nombre d'entreprise qui garde une version de java car c'est la seul compatible avec leur appli web avec un applet a la con, je pense que si, ça serai différent.

  6. #6
    Modérateur
    Avatar de Gugelhupf
    Homme Profil pro
    Analyste Programmeur
    Inscrit en
    Décembre 2011
    Messages
    1 320
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Analyste Programmeur

    Informations forums :
    Inscription : Décembre 2011
    Messages : 1 320
    Points : 3 740
    Points
    3 740
    Billets dans le blog
    12
    Par défaut
    Citation Envoyé par dfiad77pro Voir le message
    Si oracle était en bon terme avec microsoft et respectaient les standards d'installation sur Windows , ils pourraient proposer leur java sur windows Update
    Bonjour, en quoi consiste les standards d'installation (les conditions) pour intégrer Java dans Windows Update ?
    N'hésitez pas à consulter la FAQ Java, lire les cours et tutoriels Java, et à poser vos questions sur les forums d'entraide Java

    Ma page Developpez | Mon profil Linkedin | Vous souhaitez me contacter ? Contacter Gokan EKINCI

  7. #7
    Expert éminent
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Août 2007
    Messages
    2 161
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Août 2007
    Messages : 2 161
    Points : 7 952
    Points
    7 952
    Par défaut
    Les hackers, c'est un peu comme les journaux people
    Si personne te connait, tu ne les intéresses pas, seules les "stars" se les coltinent
    Et plus t'es connu, plus tu as des paparazzis au cul

    Pour les softs, c'est pareil
    Plus il a de succès, et plus il a de hackers pour y chercher des failles et tenter de les exploiter

  8. #8
    Membre émérite
    Avatar de Voyvode
    Profil pro
    Inscrit en
    Mars 2007
    Messages
    476
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Mars 2007
    Messages : 476
    Points : 2 678
    Points
    2 678
    Par défaut
    Vous utilisez QuickTime et VLC dans vos boites ?
    Cette étude parle du grand public. Bien sûr que c’est différent en entreprise…

    Citation Envoyé par bilgetz Voir le message
    dans ma boite ( pourtant une grosse boite), sur les postes utilisateurs ( soient 8400 postes) il y'a par défaut une version de java 1.6 avec des updates datant de 2009...
    …et les grosses boites sont rarement des modèles là-dessus, les logiciels changent quand le matériel change.

    Mais je comprends ce que tu veux dire. Le problème que tu évoques concerne aussi une population qui tourne avec des versions sans système de màj auto, et cela crée une fragmentation difficile à résorber (comme pour les navigateurs). Java 1.6 a ce problème…

    Citation Envoyé par bilgetz Voir le message
    Donc le java 1.8 en standard d'ici 1 mois, je n'y crois pas du tout.
    Pour le grand publique,
    Si oracle était en bon terme avec microsoft et respectaient les standards d'installation sur Windows , ils pourraient proposer leur java sur windows Update
    Vu le passif que Microsoft a avec Java ?
    Et vu comment Windows Update gère les versions de Visual C++… non vraiment, c’est une mauvaise idée.

    En plus Firefox, Chrome ou Flash s’en sortent très bien tous seuls. Apparemment, Oracle a adopté un système de màj similaire. Java 7 sera mis à jour en Java 8 de la même façon.

  9. #9
    Membre expérimenté Avatar de dfiad77pro
    Homme Profil pro
    Responsable Architecture logicielle
    Inscrit en
    Décembre 2008
    Messages
    541
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 35
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Responsable Architecture logicielle
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Décembre 2008
    Messages : 541
    Points : 1 729
    Points
    1 729
    Par défaut
    Citation Envoyé par Voïvode Voir le message
    Vous utilisez QuickTime et VLC dans vos boites ?
    Cette étude parle du grand public. Bien sûr que c’est différent en entreprise…

    …et les grosses boites sont rarement des modèles là-dessus, les logiciels changent quand le matériel change.

    Mais je comprends ce que tu veux dire. Le problème que tu évoques concerne aussi une population qui tourne avec des versions sans système de màj auto, et cela crée une fragmentation difficile à résorber (comme pour les navigateurs). Java 1.6 a ce problème…

    Vu le passif que Microsoft a avec Java ?
    Et vu comment Windows Update gère les versions de Visual C++… non vraiment, c’est une mauvaise idée.

    En plus Firefox, Chrome ou Flash s’en sortent très bien tous seuls. Apparemment, Oracle a adopté un système de màj similaire. Java 7 sera mis à jour en Java 8 de la même façon.

    On parle pas forcément de java 7 ou 8 .mais de leur update (u34, u45 etc) qui ne sont pas installée. y'a beaucoup de raisons à cela.
    Notamment que l'utilisateur moyen ne sais pas ce que c'est JAVA et que l'installeur sous windows demande la permission à l'utilisateur. D’où ma suggestion de Windows update.

  10. #10
    Membre éprouvé Avatar de Shuty
    Homme Profil pro
    Ingénieur en développement
    Inscrit en
    Octobre 2012
    Messages
    630
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Ingénieur en développement
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Octobre 2012
    Messages : 630
    Points : 1 174
    Points
    1 174
    Par défaut
    Rien de nouveau concernant Java... Après c'est forcément le cas du faite que la techno d'Oracle est partout...
    Agence web Dim'Solution, créateur de solutions numériques
    Sites internet, ecommerce, logiciels, applications mobiles, référencement (SEO), plugin Prestashop, Magento, WordPress, Joomla!...

    Cours de trading gratuit | Envoyer des sms gratuitement | Envoyer des fax gratuitement | Plateforme de Fax à l'international

  11. #11
    Membre confirmé Avatar de bruneltouopi
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Janvier 2010
    Messages
    308
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Ile Maurice

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Janvier 2010
    Messages : 308
    Points : 466
    Points
    466
    Par défaut
    Les utilisateurs doivent plus prendre au sérieux la notion de sécurité.Mais franchement pourquoi utiliser encore les applets à l'heure actuelle.
    Franchement
    Ce qui ne me tue pas me rend plus fort.

  12. #12
    MikeRowSoft
    Invité(e)
    Par défaut
    Le cas de distinction entre des applications et librairies (ou middleware), n'est pas évoqué pour des raisons de simplicité ?
    Pourtant la procédure corrective n'est pas vraiment la même, surtout pour des raisons de portabilité et ré-utilisabilité.

  13. #13
    Nouveau membre du Club
    Homme Profil pro
    L3 informatique
    Inscrit en
    Mars 2013
    Messages
    21
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Nord (Nord Pas de Calais)

    Informations professionnelles :
    Activité : L3 informatique

    Informations forums :
    Inscription : Mars 2013
    Messages : 21
    Points : 26
    Points
    26
    Par défaut
    Personnellement , je suis très intéressé par la sécurité informatique au point de vouloir, l'année prochaine aller dans une école d'ingénieur en cyberdéfense.
    Et avec le peu d’expériences que j'ai à ce niveau là, je trouve que java n'est pas assez sécurisé. Il faut dire ce qui est. Une application java peut-être analysé grâce à un désassembleur. Et lorsque java est utilisé pour une servlet sur un site web, il suffit d'aller dans le code source pour récupérer le .class et le transformer en .java à l'aide d'un logiciel tel que cavaj ( pour ceux qui n'ont pas remarqué , c'est javac à l'envers XD).

    Mais on parle de java, mais est-ce que les autres langages sont sécurisés ? Il faudrait que je fasse plus de recherches sur le sujet. Mais sachez que si un site à sa sécurité basé sur un code java ou javascript, alors il ne seras pas bien sécurisé. Et la sécurité est souvent mal évalué sur les sites. Les "https" sont donnés mais ne signifient pas toujours la bonne sécurité du site. J'ai fait un test avec le premier site https qui me tombait sous la main et je l'ai piraté. Réssultat : faille javascript trouvé, inscription d'identifiants illégalement dans la base de données du site accès au statut d'admin. J'ai fait cela avec le stie de mon université aussi, et je l'ai ai aidé à corriger la faille, et la c'était une faille php. Autre exemple, sur le réseau des ordinateurs de mon université, faille de sécurité en bash qui permettait de devenir admin sur le réseau.

    Enfin, tout cela pour dire que quelque soit le langage utilisé, je suis persuadé qu'il existeras toujours un moyen de contourner la sécurité, et je suis pas du genre à abandonner facilement.

    Voilà, j'ai donné mon avis de débutant, certes, mais aussi de passionné qui essaie de changer les choses pour rendre l'informatique RÉELLEMENT sécurisée.

    Cordialement,
    Bury Florian,
    étudiant en deuxième année de DUT informatique.

  14. #14
    Membre émérite
    Avatar de Voyvode
    Profil pro
    Inscrit en
    Mars 2007
    Messages
    476
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Mars 2007
    Messages : 476
    Points : 2 678
    Points
    2 678
    Par défaut
    Citation Envoyé par papabury59 Voir le message
    Et avec le peu d’expériences que j'ai à ce niveau là, je trouve que java n'est pas assez sécurisé. Il faut dire ce qui est. Une application java peut-être analysé grâce à un désassembleur.
    1. Tu as déjà décompilé un programme passé à la moulinette de l’obfuscation ?
    2. Décompiler signifie donc pouvoir accéder au code source. Avec ton raisonnement, aucun logiciel open source n’est sécurisé.

    Mais sachez que si un site à sa sécurité basé sur un code java ou javascript, alors il ne seras pas bien sécurisé.
    Absolument pas. C’est vrai que Java a eu une très mauvaise passe ces deux dernières années, mais beaucoup de choses ont changé avec Java 8.
    Quant à JavaScript, je ne comprends pas pourquoi tu penses cela.

    Et la sécurité est souvent mal évalué sur les sites. Les "https" sont donnés mais ne signifient pas toujours la bonne sécurité du site. J'ai fait un test avec le premier site https qui me tombait sous la main et je l'ai piraté.
    Tu as réussi avec le premier site venu probablement parce que tu as exploité POODLE. Les failles Heartbleed, ShellShock et POODLE furent de grosses leçons sur le soin qu’il faut apporter à la sécurité. Le minimum étant de soigneusement configurer son système et de le maintenir à jour pour limiter autant que possible les dégâts des failles 0-day, ce qui est loin d’être une évidence dans les grosses structures (et pas elles seulement).

    Ton université a probablement ce problème. La faille bash est plus qu’un indice.

    Mais on parle de java, mais est-ce que les autres langages sont sécurisés ? […] Enfin, tout cela pour dire que quelque soit le langage utilisé, je suis persuadé qu'il existeras toujours un moyen de contourner la sécurité
    Tu as répondu à ta propre question. Ce n’est pas tant un problème de technologie que de gestion et de bonnes pratiques.

  15. #15
    Membre actif
    Homme Profil pro
    Expertise sécurité
    Inscrit en
    Avril 2013
    Messages
    185
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Expertise sécurité

    Informations forums :
    Inscription : Avril 2013
    Messages : 185
    Points : 268
    Points
    268
    Par défaut
    Citation Envoyé par Voïvode Voir le message
    Mais je comprends ce que tu veux dire. Le problème que tu évoques concerne aussi une population qui tourne avec des versions sans système de màj auto, et cela crée une fragmentation difficile à résorber (comme pour les navigateurs). Java 1.6 a ce problème…
    Hello,

    Pas étonnant que les gens désactivent les MàJ auto... Les gens lambda commencent a avoir une peur bleue des virus et les gens du domaine savent qu'un MàJ automatique peut engendré des problèmes de compatibilité avec les outils de tous les jours.
    Je trouve qu'il ne faut pas tout remettre sur le dos de l'utilisateur...
    Les mises à jour sont tout aussi fautive !

    Même si, je te l'accorde, d'un point de vue sécu les MàJ c'est LE plus important.

    Et pour la situation en entreprise... Sans commentaire. Quand on voit le temps que cela met dans certaines entreprise...

    @+

  16. #16
    Membre habitué

    Profil pro
    Inscrit en
    Janvier 2007
    Messages
    125
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : Janvier 2007
    Messages : 125
    Points : 175
    Points
    175
    Par défaut
    Citation Envoyé par papabury59 Voir le message
    Et lorsque java est utilisé pour une servlet sur un site web, il suffit d'aller dans le code source pour récupérer le .class et le transformer en .java à l'aide d'un logiciel tel que cavaj ( pour ceux qui n'ont pas remarqué , c'est javac à l'envers XD).
    Attention, tu confonds servlet et applet.

    Une applet, ça tourne sur le client et c'est décompilable. Ce qui ne veut pas forcément dire que ce n'est pas sécurisé (voir par ex. réponse de Voïvode).

    Une servlet, ça tourne sur le serveur et ça génère du html (ou autre). Tu ne verras pas de jar ou de class côté client et tu ne pourras pas décompiler.

    Quand on parle d'application web, on ne parle pas d'applet. Les applets sont une manière facile de charger un client lourd (= le code tourne sur le client) à partir de son navigateur. Elles sont déconseillées dans beaucoup de cas.

  17. #17
    Membre confirmé
    Avatar de provirus
    Homme Profil pro
    Consultant informatique
    Inscrit en
    Février 2009
    Messages
    248
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 38
    Localisation : Canada

    Informations professionnelles :
    Activité : Consultant informatique
    Secteur : Conseil

    Informations forums :
    Inscription : Février 2009
    Messages : 248
    Points : 580
    Points
    580
    Par défaut
    L'article parle de Java alors que ce dernier n'a rien à voir avec les problèmes de sécurité. Java roule avec autant de permissions que l'utilisateur alors c'est comme dire qu'un logiciel C++ n'est pas sécure.

    Visiblement, quand on regarde la comparaison, on voit que ça n'a ni queue ni tête: c'est quoi le dénominateur commun entre Java, .NET et VLC??

    Je crois que ce que l'auteur voulait vraiment dire, c'est "Applet Java" et même à ça, comparer avec .NET et VLC, aucun rapport...

  18. #18
    Membre à l'essai
    Homme Profil pro
    Inscrit en
    Mai 2012
    Messages
    22
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations forums :
    Inscription : Mai 2012
    Messages : 22
    Points : 22
    Points
    22
    Par défaut
    Flash Player 15 par exemple, reste installé sur 73% des ordinateurs américains et 79% au Royaume-Uni, malgré qu'il ne soit plus maintenu par Abode.
    N'importe quoi. Flash player n'est plus maintenu sur dispositif mobile, mais il l'est encore sur les ordinateurs de bureau.

Discussions similaires

  1. Quel serait le langage de programmation le plus rentable ?
    Par Stéphane le calme dans le forum Actualités
    Réponses: 33
    Dernier message: 25/05/2020, 14h14
  2. Réponses: 10
    Dernier message: 24/02/2014, 10h13
  3. Réponses: 0
    Dernier message: 25/10/2011, 18h44
  4. Réponses: 0
    Dernier message: 25/10/2011, 18h44
  5. Intel : un vieux PC est plus exposé aux dangers
    Par Emmanuel Chambon dans le forum Actualités
    Réponses: 15
    Dernier message: 01/07/2009, 15h29

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo