Java, autrefois incontournable sur le Web, a vu sa popularité décliner ces dernières années. Les navigateurs modernes le bloquent par défaut, et la plupart des utilisateurs domestiques n'ont plus besoin de l'installer.
Longtemps considéré comme le logiciel le moins sécurisé sur les ordinateurs de bureau, particulièrement sous Windows, Java l'est-il encore ? Examinons les faits de près.
La raison principale de sa popularité auprès des attaquants réside dans son ubiquité. Conçu pour une compatibilité maximale, Java s'exécute sur une vaste gamme d'appareils : ordinateurs, lecteurs Blu-ray, imprimantes, systèmes de paiement, appareils de loterie et bien d'autres. Loin de la "sécurité par l'obscurité", une plateforme aussi étendue offre un terrain fertile aux cybercriminels.
Sur le bureau, le principal défaut était l'absence de mises à jour automatiques. Contrairement aux logiciels modernes, Java demandait une intervention manuelle. Par défaut, les vérifications ne se faisaient qu'une fois par semaine ou par mois, un rythme inadapté à ses nombreuses vulnérabilités.
Beaucoup d'utilisateurs ignoraient les notifications, conservant des versions obsolètes. Même les plus vigilants pouvaient rater des mises à jour, et il arrivait que d'anciennes versions coexistent, augmentant les risques.
N'oublions pas la barre d'outils Ask intégrée par défaut lors des installations, obligeant les utilisateurs à décocher une case – une pratique frustrante qui a terni sa réputation.
Qu'en est-il aujourd'hui ?
En octobre 2017, Veracode révélait que 88 % des applications Java contenaient au moins un composant vulnérable. Début 2016, Oracle admettait une faille dans son propre installateur : un DLL malveillant dans le dossier Téléchargements pouvait infecter le système. La popularité de Java facilitait les attaques via des sites compromis exploitant des versions obsolètes.
Cependant, des avancées notables ont émergé. Début 2016, Oracle a annoncé la dépréciation du plugin navigateur dans JDK 9 (désormais disponible). Les navigateurs modernes ont suivi : Chrome l'a abandonné fin 2015, Firefox début 2017, et Edge (Windows 10) ne l'a jamais supporté.
Pour utiliser Java dans un navigateur, Internet Explorer reste une option, mais déconseillée.
Avec la baisse de popularité de Java, quels logiciels de bureau sont les plus risqués ?
Selon les données Flexera (T1 2017), 7,8 % des programmes sur un PC moyen sont en fin de vie. Voici les 10 plus exposés (part de marché × % d'utilisateurs non mis à jour) :
Cette liste surprend : Java est deuxième, talonné par des outils comme VLC ou Malwarebytes. Elle souligne l'importance de mettre à jour tous les logiciels.
Le rapport Avast (T3 2017) liste les 10 programmes les plus obsolètes chez ses utilisateurs :
Les anciennes versions de Java dominent, suivies des plugins Adobe, iTunes et VLC.
Inversement, TechRadar note que Chrome excelle : 88 % des utilisateurs ont la dernière version, grâce aux mises à jour automatiques silencieuses – contrairement aux notifications intrusives de Java ou Adobe.
Les OS comptent aussi. Les mises à jour automatiques ont protégé contre WannaCry (mi-2017). Windows 10 les facilite, mais Windows 7 peut les désactiver, et XP (fin de support depuis 2014) est extrêmement vulnérable.
Java n'est plus le pire risque pour les postes de travail. Les versions obsolètes persistent chez les inutilisateurs, mais l'abandon du support navigateur réduit drastiquement les expositions.
Le vrai maillon faible ? Le logiciel populaire que vous négligez de mettre à jour. QuickTime obsolète, Flash ou iTunes non patchés sont plus dangereux qu'une Java à jour.
Les logiciels sans mises automatiques sont les plus vulnérables : les rappels incessants mènent à l'ignorance.
Sur Mac, Safari bloque les plugins par défaut mais supporte encore Java/Silverlight. Désinstallez Java sauf nécessité ; les failles macOS récentes viennent souvent d'Apple.
Sous Linux, pas de vulnérabilités spécifiques. Pour Java, utilisez Firefox ESR (v52 jusqu'au T2 2018), qui patch les sécurité tout en retardant les nouveautés.
Bonne nouvelle : la plupart des plugins dangereux ne sont plus nécessaires. Peu de sites usent de Java ; Minecraft intègre sa propre version sécurisée. Silverlight et Shockwave sont obsolètes.
Flash persiste jusqu'en 2020 : mettez-le à jour (Chrome le fait automatiquement).
En résumé : Java reste perfectible mais moins risqué grâce aux navigateurs. Désinstallez l'inutile, mettez tout à jour (logiciels et OS), et vous minimisez les menaces.
Crédit image : avemario/Depositphotos
[]