J’ai longtemps exhorté les lecteurs qui n’ont pas besoin de Java pour supprimer le programme, car le fait de ne pas maintenir ce logiciel à jour avec les derniers correctifs de sécurité expose les utilisateurs à des attaques dangereuses et omniprésentes. Dans cet article de blog, je montrerai aux lecteurs comment les attaques contre les vulnérabilités Java sont rapidement devenues la principale source de revenus pour les auteurs des « kits d’exploitation » les plus vendus, des logiciels criminels commerciaux conçus pour être intégrés à des sites piratés ou malveillants et exploiter une variété de Vulnérabilités du navigateur Web.
Jetez un coup d’œil au kit le plus récent du bloc – « Blackhole » – et il est évident que les vulnérabilités Java continuent de donner aux attaquants le plus de kilométrage et de profit, et ont dépassé Adobe défauts comme les véhicules d’exploit les plus réussis.
J’ai parlé brièvement par message instantané avec le développeur de ce kit Blackhole (photo à droite), et il m’a assuré que ces images avaient été prises à partir d’une installation en état de marche. La capture d’écran ici montre le panneau d’administration de ce pack d’exploits, qui répertorie le nombre de visites (хиты) et de téléchargements (загрузки). Les statistiques montrent qu’en moyenne, ce kit trouve un exploit fonctionnel qu’il peut utiliser pour installer un logiciel malveillant sur un hôte en visite environ 10 % du temps.
Certes, au fur et à mesure des pages d’administration du pack d’exploits, celui-ci est très jeune (13 289 visites au moment où cette capture d’écran a été prise), mais déjà certains modèles émergent des données. Par exemple, nous pouvons voir que les vulnérabilités Java sont de loin les plus utiles, représentant plus de 90 % de tous les exploits réussis.
Ce modèle ne se limite pas à Blackhole. Jetez un œil aux trois captures d’écran suivantes, extraites des pages de résultats d’exploitation de trois installations de travail différentes de Pack Sploit SEO, un autre kit d’exploit courant. Les trois captures d’écran montrent clairement que les vulnérabilités Java sont les plus productives, représentant entre 50 et 65 % des installations ou « chargements » de logiciels malveillants (grâce à Malwaredomainlist.com pour obtenir de l’aide à ce sujet).
Pour ceux qui n’ont pas suivi, j’ai également trouvé que les failles Java étaient les principaux vecteurs d’exploitation pour les packs d’exploitation Crimepack et Eleonore.
Je crois qu’il y a deux raisons à ce modèle : premièrement, le créateur de Java, soleil – fait maintenant partie de Oracle Corp. – s’est trop longtemps considéré comme une société de logiciels d’entreprise et a choisi d’ignorer que son logiciel est également installé sur quelque chose comme 85% des ordinateurs de bureau de la planète (et 75% des lecteurs de breachtrace.com, selon Google Analytics). De plus, il semble que de nombreux consommateurs ne savent tout simplement pas qu’ils ont installé ce logiciel ou qu’il nécessite des mises à jour assez fréquentes.
Adobe a pris quelques morceaux au cours de la dernière année pour le nombre de vulnérabilités critiques que les pirates ont trouvées et exploitées dans ses logiciels. Mais pour une raison quelconque, Java semble obtenir un laissez-passer de la presse technique et de sécurité, même si les failles Java se révèlent systématiquement les plus utiles pour les attaquants qui utilisent ces kits d’exploitation automatisés.
Si vous n’utilisez pas Java, envisagez de le supprimer. Vous pouvez toujours le réinstaller plus tard si vous en avez besoin. Si vous utilisez Java, veuillez le tenir à jour. Java est livré avec un programme de mise à jour intégré qui vérifie par défaut les mises à jour le 14 de chaque mois. Cependant, cela peut ne pas être assez fréquent pour tenir les utilisateurs au courant de la dernière version. Le programme peut également être configuré pour vérifier les mises à jour tous les jours ou toutes les semaines, bien que j’aie constaté que le programme de mise à jour de Java échoue souvent à détecter la disponibilité d’une nouvelle version. Alternativement, des programmes comme Vérificateur de mise à jour de FileHippo et Inspecteur personnel des logiciels de Secunia peut aider les utilisateurs à se tenir au courant des derniers correctifs de sécurité.
Mise à jour, 12 octobre, 18 h 19 HE : Oracle vient de publier une mise à jour – Java 6 Update 22 – qui corrige 29 failles de sécurité dans la version la plus récente de Java.