Sécurité

Pourquoi Java pose-t-il moins de risques pour la sécurité maintenant sous Windows, Mac et Linux?

Pourquoi Java pose-t-il moins de risques pour la sécurité maintenant sous Windows, Mac et Linux? / Sécurité

Java, un composant essentiel du Web, a perdu de sa popularité au cours des dernières années. La plupart des navigateurs modernes bloquent Java par défaut et la majorité des utilisateurs à domicile n’ont plus besoin de l’installer..

Nous savons depuis longtemps que Java est le logiciel le plus sûr pour les ordinateurs de bureau, en particulier Windows. Mais est-ce toujours vrai? Creusons et découvrons.

Les problèmes historiques avec Java

La raison principale pour laquelle Java est devenu une cible d'attaque si populaire est son étendue. Parce que Java a été conçu pour une compatibilité maximale, il fonctionne sur une multitude de périphériques. Outre les ordinateurs, Java alimente les lecteurs Blu-ray, les imprimantes, les systèmes de paiement en stationnement, les appareils de loterie, etc. C'est le contraire de la sécurité par l'obscurité: une plate-forme majeure offre le meilleur retour sur investissement pour une attaque.

Bien sûr, nous sommes concernés par Java sur le bureau. Et là, la pire offense est que Java ne se met pas à jour automatiquement. Contrairement à la plupart des programmes modernes, Java demande simplement à l'utilisateur d'installer les mises à jour lorsqu'elles sont disponibles. Pire encore, par défaut, Java ne vérifie les mises à jour qu'une fois par semaine, voire une fois par mois. C'est dangereux pour une application avec autant de vulnérabilités de sécurité.

De nombreuses personnes voient l'invite de mise à jour et l'ignorent, ce qui les oblige à exécuter une version obsolète de Java. Et avec les nouvelles versions proposées régulièrement, même ceux qui installent certaines mises à jour peuvent être frustrés et en ignorer d'autres. Dans certains cas, même lorsque les utilisateurs installent une nouvelle version, ils laissent également l’ancienne copie de Java installée. Cela élargit leur vulnérabilité aux attaques.

Bien sûr, nous ne pouvons pas oublier la longue saga de Java qui inclut l'incroyable terrible Ask Toolbar. Chaque fois que vous installiez ou mettiez à jour Java, vous deviez vous rappeler de décocher une case, sinon cela inclurait ce morceau. Bien que ce ne soit pas un exploit, cela a laissé un mauvais goût dans la bouche des utilisateurs.

Java a 22 ans aujourd'hui.

Nous devrions envoyer un gâteau à Oracle avec la barre d'outils Ask.

- Tim Barrett (@timbarrett) le 24 janvier 2018

Java moderne

Voilà donc ce qui n'allait pas avec Java dans le passé, mais qu'en est-il récemment?

En octobre 2017, Veracode a constaté que 88% des applications Java contiennent au moins un composant vulnérable. Début 2016, Oracle a annoncé que même le programme d'installation de Java était vulnérable. Si un attaquant place un fichier DLL avec un nom spécifique dans votre dossier Téléchargements, cela déclenche une infection lorsque vous exécutez le programme d'installation de Java. Et en général, en raison de la popularité de Java, il vous suffirait de visiter un site Web compromis qui exploitait votre copie obsolète de Java pour être infecté..

Bien que cela signifie que Java soit loin d'être sûr, il y a de bonnes nouvelles également. Début 2016, Oracle a annoncé qu'il envisageait de rendre obsolète le plug-in de navigateur Java (source de la plupart des problèmes) dans JDK 9, disponible dès maintenant. Les navigateurs modernes ont également quitté Java. Chrome a cessé la prise en charge de Java à la fin de 2015 et Firefox a cessé de la prendre en charge au début de 2017. Le navigateur Edge de Microsoft, inclus dans Windows 10, ne prend pas en charge Java du tout..

Cela signifie que si vous avez vraiment besoin d'utiliser Java dans un navigateur, vous devrez vous en tenir à Internet Explorer..

Les plus grandes vulnérabilités

Depuis que Java gagne en popularité, ce qui a pris sa place en tant que logiciel de bureau le moins sûr?

Les dernières données de Flexera, du premier trimestre 2017, révèlent que 7,8% des programmes d'un PC moyen ont atteint la fin de leur vie. Il classe les 10 meilleurs programmes les plus exposés, en fonction de la part de marché multipliée par le pourcentage d’utilisateurs non corrigés:

  1. iTunes 12.x
  2. Java 8.x
  3. VLC Media Player 2.x
  4. Adobe Reader XI 11.x
  5. Adobe Shockwave Player 12.x
  6. Malwarebytes Anti-Malware 2.x
  7. Kindle pour PC 1.x
  8. Adobe Acrobat Reader DC 15.x
  9. uTorrent 3.x
  10. iCloud pour Windows 6.x

Cette liste peut vous surprendre. Bien que Java ne soit pas le programme le plus risqué, il n'en reste pas moins le deuxième. D'autres programmes que nous n'associons généralement pas à des risques de sécurité, tels que VLC et Malwarebytes, tiennent également une place. Ceci illustre l'importance de maintenir à jour tous vos logiciels. 4 Applications Windows à maintenir à jour en permanence 4 Applications Windows à maintenir à jour en tout temps Maintenir votre logiciel à jour est un moyen de ne pas avoir à vous soucier des pirates informatiques et des logiciels malveillants. . Nous vous montrons comment maintenir à jour Windows, les navigateurs, les outils antivirus et les autres applications. Lire la suite, pas seulement les plus populaires.

Nous pouvons en voir plus en consultant le rapport de sécurité du troisième trimestre 2017 d'Avast. Il répertorie les 10 programmes les plus obsolètes sur les ordinateurs de ses utilisateurs:

  1. Java 6, 7 et 8
  2. Adobe AIR
  3. Adobe Shockwave
  4. VLC Media Player
  5. iTunes
  6. Firefox
  7. 7-Zip
  8. WinRAR
  9. Quick Time
  10. Adobe Flash Player

Lorsque vous incluez les versions plus anciennes, il semble que Java reste en tête du logiciel le moins mis à jour. Les plugins d'Adobe sont aussi de gros coupables, et nous voyons iTunes et VLC également faire cette liste.

À l'inverse, selon TechRadar, Chrome se classe au premier rang pour les applications mises à jour. Lors de l'enquête, la dernière version était installée sur 88% des utilisateurs de Chrome. Cela montre à quel point les mises à jour automatiques silencieuses font une énorme différence par rapport aux invites de mise à jour lancinantes utilisées par les environnements d'exécution Java et Adobe..

Ne pas oublier les mises à jour du système d'exploitation

Un autre élément essentiel de la mise à jour à retenir est la mise à jour du système d'exploitation. N'oubliez pas que les utilisateurs qui avaient installé des mises à jour automatiques ont été épargnés par la terrible attaque de ransomware de mi-2017 L'attaque globale de ransomware et comment protéger vos données L'attaque globale de Ransomware et comment protéger vos données Une cyberattaque massive a frappé des ordinateurs du monde entier. Avez-vous été affecté par le ransomware à réplication automatique très virulent? Si non, comment pouvez-vous protéger vos données sans payer la rançon? Lire la suite . Même si vous maintenez des logiciels tels que Java à jour, votre ordinateur est toujours exposé si vous n'installez pas de mises à jour Windows..

Windows 10 facilite ces mises à jour automatiques Avantages et inconvénients des mises à jour forcées dans Windows 10 Avantages et inconvénients des mises à jour forcées dans Windows 10 Les mises à jour changent dans Windows 10. Vous pouvez maintenant choisir. Windows 10, cependant, forcera les mises à jour sur vous. Cela présente des avantages, comme une sécurité renforcée, mais cela peut aussi mal tourner. Quoi de plus… Lisez Plus, mais ceux de Windows 7 les ont peut-être désactivés. Et ceux qui utilisent encore Windows XP près de quatre ans après sa fin de vie courent un risque majeur. 7 façons dont Windows 10 est plus sécurisé que Windows XP 7 façons dont Windows 10 est plus sécurisé que Windows XP Même si vous n'aimez pas Windows 10, vous devriez vraiment avoir migré de Windows XP maintenant. Nous vous montrons comment le système d’exploitation, vieux de 13 ans, est maintenant confronté à des problèmes de sécurité. Lire la suite .

Quel est le danger de Java, vraiment?

Dans l’ensemble, pouvons-nous toujours dire que Java est le plus gros risque pour la sécurité des ordinateurs de bureau? Pas vraiment. Sur le plan négatif, les utilisateurs continuent à utiliser des versions obsolètes de Java, même s'ils n'en ont vraiment pas besoin. Cela les ouvre aux vulnérabilités de sécurité. Cependant, comme la plupart des navigateurs ne supportent plus Java, ils ne sont plus sujets aux attaques, comme ils l'étaient auparavant..

Le maillon faible de la sécurité de votre ordinateur provient du logiciel le plus populaire que vous ne tenez pas à jour.. Si vous possédez la dernière version de Java mais que vous n'avez toujours pas désinstallé QuickTime pour Windows non pris en charge, le risque est élevé. Avoir une version obsolète de Flash, Adobe Reader ou iTunes pourrait vous exposer à des attaques aussi.

Ambiance actuelle: refuser une mise à jour logicielle pendant 18 mois et maintenant l'outil de téléchargement est obsolète

- moths (@ 13_moths) 12 février 2018

Les données ci-dessus permettent de comprendre que les programmes sans mises à jour automatiques sont généralement les moins sécurisés. Par exemple, iTunes demande constamment aux utilisateurs de mettre à jour, ce qui est agaçant. Les programmeurs font 7 choses stupides qui rendent les utilisateurs fous 7 Les programmeurs font des choses stupides qui rendent les utilisateurs fous Les programmeurs prennent souvent des décisions stupides qui entraînent des ennuis pour les utilisateurs. Voici quelques problèmes de conception courants qui rendent les gens fous. Lire la suite . Cela conduit les gens à ignorer les mises à jour et à laisser une version non sécurisée installée.

Qu'en est-il de Mac et Linux?

Nous nous sommes concentrés sur Java pour Windows ci-dessus, mais il convient de mentionner rapidement comment cela affecte également les utilisateurs de Mac et de Linux..

Étonnamment, alors qu'Apple ne laisse pas les plugins fonctionner par défaut dans Safari, le navigateur prend toujours en charge les anciens plugins tels que Java et Silverlight. Bien que vous deviez désinstaller Java sur votre Mac sauf si vous en avez besoin pour une raison spécifique, Java n'a pas causé autant de problèmes pour les utilisateurs de Mac que sous Windows. Récemment, la plupart des failles de sécurité dans macOS ont été causées par des oublis de Apple.

J'ai besoin d'installer NetBeans pour quelque chose. La version Mac est livrée sous la forme d'un package d'installation (!), Qui était un drapeau rouge. Mais ensuite, il m'a demandé d'installer Java…

Nan. Nope Nope Nope. Nooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooope.

- Soif Ass Ho (@_nulldragon) 8 février 2018

Linux n'a pas vu non plus de vulnérabilités Java uniques. Si vous avez besoin d'un navigateur prenant en charge Java sous Linux, vous pouvez essayer la version ESR (Extended Support Release) de Firefox. Firefox fournit cette version pour les environnements professionnels; il fournit les dernières mises à jour de sécurité mais attend plus longtemps pour déployer les mises à jour des fonctionnalités. La version actuelle, 52, prend en charge Java et d'autres plugins existants seront disponibles jusqu'au deuxième trimestre 2018..

Un avenir sans plugin

La bonne nouvelle est que vous n'avez pas besoin de la plupart de ces plugins potentiellement dangereux et gênants. Pensez-vous que Flash est le seul plug-in non sécurisé? Pensez à nouveau, pensez que Flash est le seul plugin insécurisant? Think Again Flash n'est pas le seul plug-in de navigateur à présenter un risque pour votre sécurité et votre confidentialité en ligne. Voici trois autres plugins que vous avez probablement installés dans votre navigateur, mais que vous devriez désinstaller aujourd'hui. Lire plus installé plus. Très peu de sites Web utilisent Java, et le principal programme que les gens gardaient installé pour eux-Minecraft - inclut maintenant une version sécurisée de Java intégrée. Comment installer la version complète de Minecraft sur un PC Linux Comment installer la version complète de Minecraft sur Linux PC Minecraft est l’un des plus gros jeux au monde et fonctionne sur pratiquement toutes les plateformes. Voulez-vous le faire fonctionner sur votre ordinateur Linux? Nous allons vous montrer comment. Lire la suite . Les autres plugins ne sont pas nécessaires non plus. Il y a plusieurs années, Microsoft avait déconseillé d'utiliser Silverlight et il serait difficile de trouver un site contenant du contenu Shockwave..

Flash est la seule exception. Die Flash Die: L'histoire continue des entreprises technologiques qui essaient de tuer Flash Die Die: L'évolution actuelle des entreprises technologiques qui essaient de tuer Flash Le flash est en déclin depuis longtemps, mais quand va-t-il mourir? Lire la suite . La plupart des navigateurs le prennent encore en charge en raison de sa popularité, mais Adobe le tuerait en 2020. En attendant, veillez à mettre à jour Flash sur votre PC. Chrome le fait automatiquement, de sorte que vous ne l'avez peut-être même plus installé (ce qui est excellent)..

En bref, Java n’est toujours pas sécurisé mais présente moins de risques, grâce à la désactivation des navigateurs. Vous devez désinstaller les programmes dont vous n’avez pas besoin (y compris les anciens plugins), maintenir le logiciel de votre ordinateur à jour. Comment faire en sorte que tous vos programmes restent à jour Comment faire en sorte que tous vos programmes restent à jour Le logiciel mis à jour peut être une corvée, alors pourquoi ne pas laisser FileHippo trouver des mises à jour pour tous vos programmes obsolètes? Lire la suite et appliquer les mises à jour du système d'exploitation. Si vous faites cela, vous serez aisé.

Avez-vous toujours Java et d'autres plugins existants installés? Si oui, de quoi avez-vous besoin? Donnez votre avis sur Java ci-dessous!

Crédit d'image: avemario / Depositphotos

En savoir plus sur: Sécurité informatique, Java.