« Le calendrier autour de la sécurité de Java est très simple », a déclaré Milton Smith, le responsable de la sécurité de Java chez Oracle lors d'une conférence téléphonique qui s'est tenue la semaine dernière avec les représentants des groupes d'utilisateurs Java. « En premier lieu, corriger Java, et ensuite mieux communiquer autour de ce que nous faisons pour le langage de programmation. L'un ne va pas sans l'autre. Aucune déclaration ou effort d'apaisement ne peut satisfaire personne. Nous devons corriger Java ».
L'éditeur a été récemment pris à partie par les experts qui ont fait état de l'incapacité chronique d'Oracle à corriger sérieusement les vulnérabilités du langage de programmation. Il y a peu, le département américain de la Sécurité intérieure a même invité les utilisateurs à désactiver Java dans leurs navigateurs. Selon Milton Smith, la plupart des dernières vulnérabilités affectant Java se trouvent au niveau du navigateur. « C'est vraiment ce qui est le plus ciblé aujourd'hui dans Java ». Oracle, qui a pris le contrôle de Java depuis qu'il a acquis Sun Microsystems, a souvent été critiqué pour sa manière de communiquer autour de Java. « Mais on ne peut pas accuser toute l'équipe qui travaille sur Java chez Oracle », a déclaré Milton Smith lors de la conférence, dont l'enregistrement audio a été mis en ligne sur le site web d'Oracle vendredi.
Accélérer la circulation des mises à jour
Le responsable de la sécurité de Java et ses collègues veulent mieux communiquer autour de ce qu'ils font. « Un de nos objectifs est de nous assurer qu'Oracle touche tous les publics, aussi bien les utilisateurs, les ingénieurs, que les administrateurs de centres de calcul », a-t-il déclaré. Celui-ci n'a pas dit dans le détail comment ils comptaient s'y prendre, mais ils envisagent par exemple davantage de prises de parole sur le sujet dans les conférences spécialisées ou plus de papiers dans la presse. « Une autre piste serait qu'Oracle fournisse les mises à jour de sécurité de Java directement aux représentants des groupes d'utilisateurs, qui pourraient ensuite relayer des informations à leurs membres », a-t-il ajouté. À plusieurs reprises, Milton Smith a souligné l'importance de faire connaître les efforts accomplis par Oracle pour la sécurité de Java. Celui-ci a notamment insisté sur de « très importantes améliorations » réalisées par Oracle pour prévenir les exploits dormants. « Ces attaques sont encore nouvelles et tout le monde ne comprend pas encore bien comment elles fonctionnent », a-t-il déclaré.
Oracle s'engage à « corriger Java et à mieux communiquer »
2
Réactions
Après une série de failles d'envergure mises à jour dans Java, Milton Smith, le chef de la sécurité de Java chez Oracle a promis de « remédier » aux problèmes affectant le très populaire langage de programmation et de faire des efforts de communication envers les membres de la communauté Java.
Newsletter LMI
Recevez notre newsletter comme plus de 50000 abonnés
@MrEddy
Signaler un abusBonjour,
A la lecture de votre commentaire, il me semble que vous confondez JavaScript et Java, ce qui décrédibilise notablement vos propos.
Le plugin Java du navigateur n'execute pas le javascript.
De même, Java est souvent impliqué dans les applications web ou même les sites web "évolués" mais il est utilisé du côté serveur et non du côté du navigateur.
Actuellement, les applets Java et autre "Java Web Start" restent peu utilisées en comparaison du javascript.
Cordialement.
Bonjour.
Signaler un abusJava simplifie concidérablement l'exploitation de données en ligne.
Comme celles qui permettent de voir évoluer un graphique de valeurs boursières financières ou autres.
Les logiciels permettants d'afficher ce type d'objets que sont les graphiques utilisent pour la pluspart Java également.
Ce qui fait que ce ne sont pas seulement les navigateurs qui sont touchés mais ses applications là également.
Il n'y a pas vraiment d'autre solution pour les utilisateurs que d'avoir recours à java pour ce genre de choses.
Ce qui signifie que meme à jour, une machine connectée à internet et naviguant sur des pages de ce genre au quotidien peut être victime
d'un pirate recherchant un navigateur utilisant java.
Dieu sait qu'il y en a. Et il ne faut pas prendre un pirate pour une prune.
En générale ils n'en sont pas à leur coup d'éssai et arrivent à ce qu'ils veulent.
Infecter la machine avec un logiciel, rendant l'utilisation distante du pc de la victime, bien plus confortable. Les malwares sont légions.
Ils sont à jour aussi et peuvent échapper pour certains au principaux antivirus réputés du marché.
Ils sont faits pour ça. Alors si vraiment il existe un moyen de sécuriser Java et que oracle le sait.
Alors les resposables sont dans une situation assez inconfortable dans laquelle je n'aimerais pas me trouver.
Sans perdre de vue que java est une application distribuée gratuitement bien sur. Ce qui ne rend pas les choses faciles. Vu la politique de Microsoft
en matière de réthorique sécuritaire, je suis à me demander si je n'aurais pas préféré que ce soit eux qui aient racheté Sun microsystème.
Il est possible qu'ils n'en aient pas voulu du fait de cette difficulté à sécuriser Java...
Les Choses évoluent vite mais le problème de Java semble vouloir perdurer et rester dans l'état pour encore un long momment je crois.
Je pensais m'arreter ici dans la rédaction de ce commentaire, mais je vais aussi parler de la méthode d'infection par Java script d'une machine
qui se connecte sur un site que l'utilisateur a trouvé grace à quelques mots cléfs dans un moteur de recherche.
Une fois que la liste des sites internets répondants au mieux aux critères de recherche est affichée , l'utilisateur va regarder ce qui semble le mieu
lui convenir dans la partie réservée au petit condencé.
Certains vont soumettre plus ou moin éfficacement une critique sur la racine de l'adresse du site car ces derniers sont plus prudents ou plus vigilants.
D'autres non.
Mais il en résulte un clic sur un site semblant intéressant et pouvant apporter l'information recherchée.
La page du site se charge dans le navigateur au fur et a mesure de son temps de téléchargement.
Avec le haut débit c'est assez bref et cela ne prend tout au plus que quelques tres petites secondes et encore.
En se chargeant la page de ce site charge également un ou plusieur scripte Java qui la compose. Une fois téléchargé, le scripte malveillant est exécuté
par le navigateur et grace au plugin Java.
Ce script contient une partie qui va être en mesure d'apporter quelques informations sur ce qui se passe sur l'ordinateur victime. Il va regarder la
liste des processus actifs et en déterminer l'antivirus si il y en a un. Une fois ceci fait il va utiliser ses information pour télécharger un petit
programe permetant d'installer un Malware plus puissant de manière discrete et éfficace. Ce petit programme est fait pour çà. Le petit programme est
prévu biensur pour échapper à la surveillance de l'antivirus et aussi pour installer un programe plus complexe mais discretement et souvent en utilisant
une méthode d'augmentation de ses droits d'utilisateur sur le système victime . Droits plutôt restreints théoriquement pour un programme issu d'un site web.
Une fois le malware installé ce dernier fait son travail et communique par le réseau internet à son serveur de commande et de controle. A partir de ce
moment tout est potenciellement possible.
Tout ceci s'est déroulé en quelques petites secondes à une vitesse phénoménale. A la fois celle de votre processeur et en fonction de votre potentiel
en matiere de débit de téléchargement. Très petites secondes.
Les malwares ne sont pas de très gros programmes difficiles à dissimuler. Surtout au moment de l'infection.
La pluspart des programmes malicieux ou les scrypt Java malveillants sont interceptés par les solutions de sécurité internet à jour. Mais seulement
après un certain temps.
Et les scipt peuvent être modifiés et écris autrement pour s'adapter et ainsi échapper une nouvelle fois et encore quelque
temps à la solution de sécurité. C'est valable également pour les malwares.
Aujourdhui, et déja depuis pas mal d'années donc les techniques et les systèmes de malwares ne sont pas de la dernière pluie. Il est possible pour un
malware et pratiquement nécéssaire d'être polymorphes. Il peut changer la manière dont il est écrit. Il a la possibilité de se greffer sur un autre
programme que l'utilisateur va lancer lui meme parce que c est sont programme le plus fréquement utilisé. Quand ce dernier ne se charge pas tout seul
au démarage du système. Le malware a aussi la possibilité d'être plugué. C'est à dire de pouvoir accepter qu'un autre petit programe au fonctions
variées se greffe sur lui en lui donnant du meme coup un potenciel d'actions supplémentaires au besoin. Bref, tout ca n'est pas tres réjouissant
quant on est dans l'obligation d'utiliser une solution informatique ui permet ce genre à ce genre de systeme de se metre en place. Surtout
si nous traitons des choses sensibles sur nos ordinateurs.
J'en ai terminé pour cette explication succincte sur l'infection par un malware avec Java.