au sommaire
C'est sur le site Seclists.org que la société Security Exploration a publié un message pour dévoiler l'existence de la faille de sécurité Java. Elle a réalisé ses expérimentations à partir d’un PC doté de Windows 7 32 bits avec les principaux navigateurs du marché : Firefox 15.0.1, Google Chrome 21.0.1180.89, Internet Explorer 9.0.8112.16421 (update 9.0.10), Opera 12.02 (build 1578), Safari 5.1.7 (7534.57.2). © Eureka Presse
En matièrematière de sécurité informatique, deux noms sont alternativement associés au terme de « faille » : Flash d’Adobe et Java d'OracleOracle. Ces logiciels qui apportent des fonctionnalités supplémentaires aux navigateurs sont généralement la porteporte d'entrée vers le PC pour la plupart des hackers. Aujourd'hui, c'est au tour de JavaJava de présenter une nouvelle faille.
Elle vient d'être détectée par Security Explorations, une société spécialisée dans la recherche des vulnérabilités informatiques, basée en Pologne. La faille concerne plusieurs versions du programme : SE 5, 6 et 7. Elle pourrait toucher le chiffre astronomique de 1 milliard d'ordinateurs. En effet, à titre d'exemple, le logiciel est largement déployé et installé sur 97 % des ordinateurs en entreprise, selon Oracle. Car il permet de faire fonctionner de nombreuses applications (visualisation d'images en 3D, solutions de e-business, jeux...)), que ce soit pour les professionnels ou les particuliers.
Si elle n'est pas encore exploitée par les pirates, la faille de sécurité qui touche Java Standard Edition (SE) est présente à partir de la version 5 du programme. Les Mac et les PC fonctionnant avec une distribution de type Linux ne sont pas à l'abri de cette vulnérabilité. © Eureka Presse
Faille de Java : pas de correctif annoncé
La faille se situe au niveau de la Java Virtual Machine (JVM). Il s'agit d'un ordinateur virtuel qui sert à faire fonctionner les programmes réalisés en Java sur n'importe quel terminal, qu'il s'agisse d'un PC, d'un Mac, d'une tablette ou encore d'un smartphone. Cette machine peut être considérée comme un sandbox (bac à sablesable) car elle permet d'éviter d'entraîner des dysfonctionnements sur l'appareil informatique hôtehôte lors d'une attaque ou d'un code défectueux.
Or, avec cette faille, un pirate pourrait parvenir à installer à distance un programme sur l'ordinateur et prendre son contrôle, pour en dérober ou consulter les données. Comme la JVM de Java fonctionne sur toutes les plateformes, les possesseurs de Mac ou de PC sous distributions Linux ne sont pas épargnés. Pour le moment, selon Security Explorations, la faille n'a apparemment pas été exploitée par d'éventuels pirates.
C'est la troisième fois depuis le mois d'août que des failles de sécurité conséquentes sont détectées sur Java SE. Le dernier correctif en date avait même ouvert une vulnérabilité supplémentaire. Oracle reste néanmoins muet sur le sujet et ne livre pas de date pour une éventuelle update de Java. Le correctif sera peut-être ajouté à la prochaine mise à jour qui est programmée d'ici une quinzaine de jours (16 octobre). En attendant, Security Explorations recommande de désinstaller Java, ou au moins de désactiver son pluginplugin, du navigateur qui forme le point d'entrée d'éventuelles attaques. Si cette opération n'est pas difficile à réaliser, elle va priver la plupart des utilisateurs des fonctionnalités apportées par le logiciel. Ainsi, nombre d'applicationsapplications en ligne fonctionnent grâce à Java.