Bonnes nouvelles: Oracle dit la prochaine version majeure de son Logiciel Java ne se connectera plus directement au navigateur Web de l’utilisateur. Cette étape attendue depuis longtemps devrait réduire considérablement le nombre d’ordinateurs infectés par des logiciels malveillants via des attaques de téléchargement opportunistes dites « drive-by » qui exploitent des plug-ins Java obsolètes sur d’innombrables navigateurs et plusieurs systèmes d’exploitation.
Selon Oracle, quelque 97 % des ordinateurs d’entreprise et 89 % des systèmes de bureau aux États-Unis exécutent une forme de Java. Cela a fait JRE Java (la forme de Java qui s’exécute le plus souvent sur les systèmes des utilisateurs finaux) une cible de choix pour les auteurs de logiciels malveillants.
Les «kits d’exploitation», des logiciels criminels conçus pour être intégrés dans le tissu de sites piratés et malveillants, attendent les visiteurs qui naviguent sur les sites piégés. Les kits peuvent installer silencieusement des logiciels malveillants sur les ordinateurs de toute personne visitant ou redirigé de force vers des sites piégés sans la dernière version du plug-in Java installée. De plus, les escrocs essaient constamment d’injecter des scripts qui invoquent des kits d’exploitation via des publicités contaminées soumises aux principaux réseaux publicitaires.
Ces kits d’exploit – utilisant des noms comme « Pêcheur, » « Trou noir, » « Nucléaire » et « Plate-forme » – sont équipés pour essayer un évier de cuisine plein d’exploits pour divers plugins de navigateur, mais historiquement, la plupart de ces exploits ont été des attaques sur Java obsolète et Adobe Flash plugins. En conséquence, BreachTrace avertit depuis longtemps les utilisateurs de supprimer complètement Java, ou du moins de le débrancher du navigateur à moins et jusqu’à ce qu’il soit nécessaire.
Le 27 janvier 2016, Oracle a franchi une étape importante dans la réduction de l’efficacité des kits d’exploit et d’autres logiciels criminels lorsque la société a annoncé qu’elle retirait le plug-in de navigateur de la prochaine version de bureau de Java – JavaJRE 9.
« À la fin de 2015, de nombreux fournisseurs de navigateurs ont supprimé ou annoncé des délais pour la suppression de la prise en charge des plug-ins basés sur les normes, éliminant ainsi la possibilité d’intégrer Flash, Silverlight, Java et d’autres technologies basées sur des plug-ins », a écrit Sujet Daliborchef de produit principal pour Open Java Development Kit (OpenJDK).
« Avec les fournisseurs de navigateurs modernes qui s’efforcent de restreindre et de réduire la prise en charge des plug-ins dans leurs produits, les développeurs d’applications qui s’appuient sur le plug-in de navigateur Java doivent envisager des options alternatives telles que la migration des applets Java (qui reposent sur un plug-in de navigateur) vers le plug-in sans plug-in. Technologie Java Web Start », a poursuivi le sujet. « Oracle prévoit de déprécier le plug-in de navigateur Java dans JDK 9. Cette technologie sera supprimée d’Oracle JDK et JRE dans une future version de Java SE. »
Les escrocs ont utilisé des failles Java pour attaquer un large éventail de systèmes, et pas seulement des PC Windows : en 2013, le cheval de Troie Flashback a utilisé une faille Java pour piéger plus de 600 000 systèmes Mac OS X dans un énorme botnet.
J’attends avec impatience un monde sans le plugin Java (et de ne pas avoir à rappeler aux lecteurs les mises à jour trimestrielles des correctifs), mais il faudra probablement des années avant que diverses versions de ce plugin ne soient pour la plupart supprimées des systèmes des utilisateurs finaux dans le monde entier. Et certaines entreprises qui dépendent encore de très anciennes versions de Java continueront d’utiliser des versions obsolètes du programme.
Mais pour la plupart des utilisateurs, il n’y a pas de meilleur moment que le présent pour déterminer si vous avez installé Java et décider s’il est temps de lui donner le démarrage une fois pour toutes. J’espère que c’est la dernière fois que je devrai inclure ces instructions passe-partout sur la façon de procéder :
Les utilisateurs de Windows peuvent rechercher le programme dans la liste Ajout/Suppression de programmes de Windows, ou visiter Java.com et cliquer sur « Do I have Java ? lien sur la page d’accueil. Les instructions d’Oracle pour supprimer Java des systèmes Mac OS X sont disponibles ici.
Si vous avez une utilisation ou un besoin spécifique de Java, assurez-vous d’avoir la dernière version. Sachez également qu’il existe un moyen d’installer ce programme tout en minimisant le risque que des escrocs exploitent des failles inconnues ou non corrigées dans le programme : débranchez-le du navigateur à moins que et jusqu’à ce que vous soyez sur un site qui l’exige (ou du moins tirer parti du click-to-play, qui peut empêcher les sites Web d’afficher à la fois du contenu Java et Flash par défaut). Les dernières versions de Java permettent aux utilisateurs désactiver le contenu Java dans les navigateurs Web à travers le Panneau de configuration Java.
Vous pouvez également envisager une approche à double navigateur, en débranchant Java du navigateur que vous utilisez pour la navigation quotidienne et en le laissant branché sur un deuxième navigateur que vous n’utilisez que pour les sites nécessitant Java.
Beaucoup de gens confondent Java avec Javascript, un puissant langage de script qui permet de rendre les sites interactifs. Malheureusement, un pourcentage énorme d’attaques basées sur le Web utilisent des astuces JavaScript pour imposer des logiciels malveillants et des exploits aux visiteurs du site. Pour en savoir plus sur les façons de gérer JavaScript dans le navigateur, consultez mon didacticiel Outils pour un PC plus sûr.