Comprendre et gérer les failles de sécurité de Java

Les semaines passent, et les problèmes de sécurité de Java s’accumulent et s’aggravent. Ce billet, après vous avoir donné un aperçu des derniers événements majeurs concernant la plateforme d’Oracle, vise à vous donner quelques clefs pour apprendre à utiliser Java en toute sécurité (sélection de version, dés/installation, configuration, mise à jour).

Logo de la technologie Java développée par Oracle Corporation

Sommaire

  1. Chronologie des derniers événements concernant Java
  2. Déterminer ma version de Java
  3. Me protéger des failles de Java
    1. Désinstaller Java
    2. Paramétrer Java pour système d’exploitation seul
    3. Paramétrer Java système d’exploitation + navigateur(s)
  4. Installation et mise à jour de Java

Un vélociraptor fait du VTTAvertissement : Vous savez ce qu’est un vélo. Des roues, une chaîne, un guidon… on pédale et ça avance. Vous savez probablement aussi ce qu’est un vélociraptor (merci Jurassic Park). Un dinosaure bipède, plutôt petit, carnivore et très rapide. Les deux termes, vélo et vélociraptor, ont leur quatre premières lettres en commun… et c’est tout. Au-delà, rien à voir. Eh bien Java et Javascript, c’est pareil, aucun rapport. Cet article parle de Java, et rien de ce qui est expliqué ici n’a de rapport avec Javascript.

Chronologie des derniers événements [Sommaire]

Le 10 janvier 2013, de nouvelles failles zero-day* concernant Java sont dévoilées. Elles visent exclusivement sa version 7 (1.7.10). Les spécialistes les qualifient de « critiques », ce qui signifie entre autres qu’elles peuvent engendrer de nombreux et importants dégâts, car déjà largement diffusées dans le public et activement exploitées par des cybercriminels.

* « 0day » est un qualificatif qu’on applique aux attaques qui utilisent une vulnérabilité jusqu’ici inconnue des développeurs et donc contre laquelle les utilisateurs ne sont pas protégés. On dit « zero-day » car l’attaque commence alors que personne n’est encore au courant de la faille, qu’elle est largement diffusée sur Internet dans les « milieux concernés » et que des outils malveillants l’utilisant sont d’ores et déjà disponibles et mis en pratique.

Tout utilisateur d’Internet est susceptible d’être touché. En effet, les pirates utilisent des publicités qui, lorsqu’elles sont cliquées, vous redirigent vers des domaines frauduleux qu’ils ont spécialement piégés grâce à cette faille – quand vous n’allez pas vous-même, sans vous en rendre compte, sur ces sites piégés.

Le 12 janvier 2013, par mesure de précaution, Apple pour OS X et Mozilla pour Firefox déclenchent des mises à jour automatiques de leurs logiciels et désactivent obligatoirement les plugins Java chez leurs utilisateurs.

Le 13 janvier 2013, Oracle – l’éditeur de Java – sort « Java 7 Update 11 » (1.7.11) afin de corriger ces failles. Le niveau de sécurité par défaut de Java est augmenté d’un cran et passe de Moyen à Élevé.

Le panneau de configuration de Java, ouvert sur l'onglet Sécurité, montre que le niveau de sécurité par défaut vient d'être passé à Élevé
Panneau de configuration de Java avec le paramètre Sécurité monté par défaut à niveau Élevé

Le 14 janvier 2013, il devient vite évident que les corrections d’Oracle n’ont réglé qu’une partie des problèmes, que les trous béants de sécurité sont toujours là, qu’il va simplement falloir, pour les pirates, trouver une nouvelle manière de les utiliser. Les premières recommandations de désactivation totale de Java dans les navigateurs Internet apparaissent sur le Web.

Le 15 janvier 2013, Adam Gowdiak, chercheur en sécurité informatique ayant à son actif la découverte de nombreuses failles Java durant ces dernières années, déclare que le correctif d’Oracle laisse « non corrigées plusieurs failles de sécurité critiques ». (unfixed several critical security flaws.)

HD Moore, officier en chef de la sécurité chez Rapid7 – une compagnie qui aide les entreprises à identifier les vulnérabilités critiques de sécurité de leurs réseaux informatiques – ajoute que : « cela risque de prendre au moins deux ans à Oracle pour fixer tous les bugs de sécurité actuellement identifiés » [dans Java 7]. Il avance même que « au point où nous en sommes rendus, la chose la plus prudente à faire est de considérer que Java est et sera toujours vulnérable. Or les gens n’ont pas réellement besoin de Java sur leur bureau… » (The safest thing to do at this point is just assume that Java is always going to be vulnerable. Folks don’t really need Java on their desktop.)

Le 16 janvier 2013, c’est au tour de TrendMicro – société spécialisée dans le développement de logiciels de sécurité informatique ayant notamment la responsabilité de la protection du parc informatique de toutes les écoles publiques et privées françaises – d’y aller de sa déclaration choc : « d’après nos analyses, nous confirmons que le correctif est incomplet […] laisse un trou qui peut être utilisé via une autre nouvelle vulnérabilité ». En d’autres termes, ce correctif a juste déplacé le problème, retour à la case départ.

Pas mal comme rentrée 2013 pour Oracle, n’est-ce pas ? Surtout quand on se souvient que l’année 2012 a déjà été bien fournie en problèmes divers et variés pour sa plateforme Java : souvenez-vous du patch d’octobre 2012 et de sa correction de trente vulnérabilités, de celui d’août 2012 qui corrigeait une faille, de juin 2012 qui en corrigeait quatorze, etc.

Sources :

Déterminer ma version de Java [Sommaire]

Pour savoir si vous risquez quelque chose, rendez-vous sur cette page : Quelle version de Java est installée dans mon navigateur ? Si vous avez un résultat comme ci-dessous, un joli cadre rosé avec un numéro de version indiqué, Java est installé sur votre ordinateur ET actif dans votre navigateur Internet. Vous êtes donc potentiellement concerné, passez à l’étape « Comment me protéger des failles de Java ? » pour la suite.

Java Tester affiche un bandeau saumon indiquant le numéro de version du Java installé pour le navigateur testé, en l'occurence Java 6 Update 38 fourni de Sun Microsystems Inc.
Un exemple d’identification de version de Java d’un navigateur testé avec Java Tester (Java 6 Update 38 fourni par Sun Microsystems Inc. pour l’exemple)

Par contre, si vous avez un résultat comme ci-dessous, un cadre bleuté indiquant « Browser has Java disabled » (Votre navigateur a Java désactivé) tout va bien. Java est peut être installé sur votre ordinateur, mais il n’est pas accessible depuis votre navigateur, vous ne craignez donc rien.

Java Tester affiche un bandeau bleuté indiquant que Java a bien été désactivé du navigateur testé
Bandeau d’absence de Java dans le navigateur

Comment me protéger des failles de Java ? [Sommaire]

Plusieurs solutions s’offrent à vous. De la plus radicale, désinstaller le programme (la plus simple), aux méthodes subtiles, par l’utilisation de versions plus anciennes mais stables et sécurisées, avec ou sans désactivation pour les navigateurs Internet.

Vous n’avez pas besoin de Java : Désinstallation [Sommaire]

Neuf utilisateurs sur 10, voire même 99 sur 100, n’ont aucune raison d’avoir Java installé sur leur ordinateur. Donc (sous Windows) direction le Panneau de configuration puis Programmes et Désinstaller un programme, trouvez Java dans la liste (il est généralement présent sous la forme « Java(TM) X Update Y »), sélectionnez-le et cliquez sur Désinstaller.

Panneau Windows de désinstallation des programmes, avec présence de multiples versions de Java
Plusieurs versions de Java peuvent être installées sur un même système

Remarque  : il est possible que plusieurs versions de Java cohabitent sur votre machine. Désinstallez-les toutes ! Pour les repérer dans la liste des programmes, outre leur nom recherchez leur icône spécifique : Icône officielle Java (cliquez pour agrandir).

N’hésitez pas à désinstaller totalement Java de votre machine. Si jamais plus tard un logiciel, une application, un navigateur en a besoin, vous pourrez toujours le réinstaller. Cela ne prend que quelques secondes (voir plus bas pour la procédure à suivre), et en attendant vous serez totalement à l’abri des ennuis.

Système d’exploitation oui, navigateur(s) non [Sommaire]

Votre solution : installer la version de Java que vous souhaitez. Téléchargez-en une depuis le site officiel, la dernière sortie, une version de Java 6… dans ce cas précis – et uniquement dans ce cas précis – faites comme vous voulez.

Installez-la, puis paramétrez-la pour empêcher vos navigateurs Internet de l’utiliser. Pour cela, suivez les procédures qui correspondent à votre situation dans mon billet intitulé comment désactiver Java sous Windows et Mac, Firefox, Chrome, Internet Explorer et Safari ?

Installer une version stable et sécurisée de Java est votre seule option. Pour vous c’est donc direction la page officielle des téléchargements de Java 6, seule version répondant à ces critères (du moins en ce début 2013 et certainement pour les 6 mois à venir).

Choisissez-y une version 32 bits en rapport avec votre OS (ignorez les versions 64 bits même si votre ordinateur est capable de les faire tourner, ça ne vous apportera que des problèmes supplémentaires) et passez à la section suivante.

Java, installation et mise(s) à jour [Sommaire]

Deux remarques. Tout d’abord, si vous devez (ré)installer une version de Java, gardez les yeux bien ouvert pendant la procédure. Oracle a en effet pris la très fâcheuse habitude de coupler l’installation de son logiciel à certains programmes parasites.

McAfee Security Scanner et la Barre de recherche Ask font, au moment où j’écris ces lignes, partie de leurs propositions. Ils sont tous les deux totalement accessoires, et ne sont là que pour permettre à Oracle de se faire de l’argent sur votre dos. Pensez-bien à décocher les cases lorsque les choix vous sont offerts (plus d’explications ici : L’installeur Java a décidément de bien mauvaises habitudes).

Ensuite, pensez à bloquer définitivement les mises à jour automatiques de Java. Si vous tenez à l’avoir sur votre ordinateur, pour travailler avec ou parce que vous utilisez un outil qui en a impérativement besoin, vous DEVEZ apprendre à le gérer tout seul, à vous tenir au courant de ses problèmes et à le mettre à jour que lorsque vous l’avez décidé et que cela peut se faire de manière totalement sécurisée (et ainsi vous empêcherez aussi les McAfee Security Scanner et autres Barre de recherche Ask de s’installer en douce dans votre dos puisque Oracle tente le coup à chaque fois).

Maxime Mullet • l’Arpenteur de l’Infosphère

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *