Java, autrefois un élément essentiel du Web, a perdu de sa popularité au cours des dernières années. La plupart des navigateurs modernes bloquent Java par défaut, et la majorité des utilisateurs à domicile n'ont plus besoin de l'installer.
Nous savons depuis longtemps que Java est le logiciel le moins sûr pour les ordinateurs de bureau, en particulier Windows. Mais est-ce toujours vrai ? Creusons et découvrons.
La principale raison pour laquelle Java est devenu une cible d'attaque si populaire est son ampleur. Étant donné que Java a été conçu pour une compatibilité maximale, il s'exécute sur une multitude d'appareils. En plus des ordinateurs, Java alimente les lecteurs Blu-ray, les imprimantes, les systèmes de paiement de stationnement, les appareils de loterie et bien plus encore. C'est le contraire de la sécurité par l'obscurité :une plate-forme majeure fournit le meilleur résultat pour une attaque.
Bien sûr, nous sommes concernés par Java sur le bureau. Et là, la pire offense est que Java ne se met pas à jour automatiquement. Contrairement à la plupart des autres programmes modernes, Java demande simplement à l'utilisateur d'installer les mises à jour lorsqu'elles sont disponibles. Pire encore, par défaut, Java ne vérifie les mises à jour qu'une fois par semaine ou même une fois par mois. C'est dangereux pour une application avec autant de failles de sécurité.
De nombreuses personnes voient l'invite de mise à jour et l'ignorent, ce qui les oblige à exécuter une version obsolète de Java. Et avec de nouvelles versions proposées régulièrement, même ceux qui installent certaines mises à jour peuvent être frustrés et en ignorer d'autres. Dans certains cas, même lorsque les utilisateurs installent une nouvelle version, ils laissent également l'ancienne copie de Java installée. Cela augmente leur vulnérabilité aux attaques.
Bien sûr, nous ne pouvons pas oublier la longue saga de Java consistant à inclure la terrible barre d'outils Ask. Chaque fois que vous installiez ou mettiez à jour Java, vous deviez vous rappeler de décocher une case, sinon cela inclurait ce morceau de bric-à-brac. Bien qu'il ne s'agisse pas d'un exploit, cela a laissé un mauvais goût dans la bouche des utilisateurs.
C'est donc ce qui n'allait pas avec Java dans le passé, mais qu'en est-il récemment ?
En octobre 2017, Veracode a découvert [No Longer Available] que 88 % des applications Java contiennent au moins un composant vulnérable. Début 2016, Oracle a annoncé que même le programme d'installation de Java était vulnérable. Si un attaquant plaçait un fichier DLL avec un nom spécifique dans votre dossier Téléchargements, cela déclencherait une infection lors de l'exécution du programme d'installation Java. Et en général, en raison de la popularité de Java, il vous suffit de visiter un site Web compromis qui a profité de votre copie obsolète de Java pour être infecté.
Bien que cela signifie que Java est loin d'être sûr, il y a aussi de bonnes nouvelles. Début 2016, Oracle a annoncé qu'il prévoyait de déprécier le plugin de navigateur Java (qui est la source de la plupart des problèmes) dans JDK 9, qui est maintenant disponible. Les navigateurs modernes ont également laissé Java derrière eux. Chrome a abandonné la prise en charge de Java fin 2015 et Firefox a cessé de la prendre en charge début 2017. Le navigateur Edge de Microsoft, inclus avec Windows 10, ne prend pas du tout en charge Java.
Cela signifie que si vous avez vraiment besoin d'utiliser Java dans un navigateur, vous devrez vous en tenir à Internet Explorer.
Étant donné que Java perd de sa popularité, qu'est-ce qui a pris sa place en tant que logiciel de bureau le moins sécurisé ?
Les dernières données de Flexera, du premier trimestre 2017, révèlent que 7,8 % des programmes sur le PC moyen ont atteint la fin de leur vie. Il classe les 10 programmes les plus exposés, en fonction de la part de marché multipliée par le pourcentage d'utilisateurs non corrigés :
Cette liste peut vous surprendre. Bien que Java ne soit pas le programme le plus risqué, c'est toujours le deuxième. D'autres programmes que nous n'associons généralement pas aux risques de sécurité, comme VLC et Malwarebytes, occupent également une place. Cela illustre l'importance de maintenir tous vos logiciels à jour, pas seulement les plus populaires.
Nous pouvons en savoir plus en examinant le rapport de sécurité du troisième trimestre 2017 d'Avast. Il répertorie les 10 programmes les plus obsolètes sur les PC de ses utilisateurs :
Lorsque vous incluez les anciennes versions, il semble que Java soit toujours le logiciel le moins mis à jour. Les plugins d'Adobe sont également de grands coupables, et nous voyons qu'iTunes et VLC ont également fait cette liste.
À l'inverse, selon TechRadar, Chrome arrive en tête pour les applications mises à jour. Lors de l'enquête, 88 % des utilisateurs exécutant Chrome avaient installé la dernière version. Cela montre à quel point les mises à jour automatiques silencieuses font une énorme différence, par rapport aux invites de mise à jour lancinantes utilisées par les runtimes Java et Adobe.
Un autre élément essentiel de la mise à jour à retenir est les mises à jour du système d'exploitation. N'oubliez pas que les utilisateurs qui avaient installé des mises à jour automatiques ont été épargnés par la terrible attaque de ransomware à la mi-2017. Même si vous maintenez à jour des logiciels tels que Java, votre ordinateur est toujours à risque si vous n'installez pas les mises à jour Windows.
Windows 10 facilite ces mises à jour automatiques, mais celles de Windows 7 peuvent les avoir désactivées. Et ceux qui utilisent encore Windows XP près de quatre ans après sa fin de vie s'exposent à des risques majeurs.
Dans l'ensemble, peut-on encore dire que Java est le plus grand risque de sécurité pour les postes de travail ? Pas vraiment. Du côté négatif, les gens continuent d'utiliser des versions obsolètes de Java même s'ils n'en ont vraiment pas besoin. Cela les expose à des failles de sécurité. Cependant, comme la plupart des navigateurs ne prennent plus en charge Java, ils ne sont plus ouverts aux attaques comme ils l'étaient autrefois.
Le maillon faible de la sécurité de votre ordinateur provient du logiciel le plus populaire que vous ne mettez pas à jour . Si vous avez la dernière version de Java mais que vous n'avez toujours pas désinstallé le QuickTime pour Windows non pris en charge, c'est un gros risque. Avoir une version obsolète de Flash, d'Adobe Reader ou d'iTunes peut également vous exposer à des attaques.
Nous pouvons glaner à partir des données ci-dessus que les programmes sans mises à jour automatiques sont généralement les moins sécurisés. Par exemple, iTunes demande constamment aux utilisateurs de mettre à jour, ce qui est ennuyeux. Cela conduit les gens à ignorer les mises à jour et à laisser une version non sécurisée installée.
Nous nous sommes concentrés sur Java pour Windows ci-dessus, mais il convient de mentionner rapidement comment cela affecte également les utilisateurs Mac et Linux.
Étonnamment, bien qu'Apple ne laisse pas les plugins s'exécuter par défaut dans Safari, le navigateur prend toujours en charge les anciens plugins comme Java et Silverlight. Bien que vous deviez désinstaller Java sur votre Mac, sauf si vous en avez besoin pour une raison spécifique, Java n'a pas causé autant de problèmes aux utilisateurs de Mac que sur Windows. Dernièrement, la plupart des failles de sécurité dans macOS sont dues à des oublis d'Apple lui-même.
Linux n'a pas non plus vu de vulnérabilités Java uniques. Si vous avez besoin d'un navigateur prenant en charge Java sous Linux, vous pouvez essayer la version ESR (Extended Support Release) de Firefox. Firefox fournit cette version pour les environnements professionnels; il fournit les dernières mises à jour de sécurité mais attend plus longtemps pour déployer les mises à jour des fonctionnalités. La version actuelle, 52, prend en charge Java et d'autres plugins hérités seront disponibles jusqu'au deuxième trimestre 2018.
La bonne nouvelle est que vous n'avez plus besoin d'installer la plupart de ces plugins potentiellement dangereux et ennuyeux. Très peu de sites Web utilisent Java, et le programme principal pour lequel les gens ont installé Java --- Minecraft --- inclut maintenant une version groupée sécurisée de Java. D'autres plugins ne sont pas nécessaires non plus. Microsoft a abandonné Silverlight il y a des années, et vous auriez du mal à trouver un site avec du contenu Shockwave.
Flash est la seule exception. La plupart des navigateurs le prennent toujours en charge en raison de sa popularité, mais Adobe le supprimera en 2020. D'ici là, veillez à mettre à jour Flash sur votre PC. Chrome le fait automatiquement, de sorte que vous ne l'avez peut-être même plus installé (ce qui est formidable).
Donc en bref :Java n'est toujours pas sécurisé mais présente moins de risques grâce aux navigateurs qui le désactivent. Vous devez désinstaller les programmes dont vous n'avez pas besoin (y compris les anciens plug-ins), maintenir à jour le logiciel de votre ordinateur et appliquer les mises à jour du système d'exploitation. Si vous faites cela, vous serez bien loti.
Crédit image :avemario/Depositphotos
