Jeudi, le monde a appris que des attaquants s’introduisaient dans des ordinateurs en utilisant une faille de sécurité auparavant non documentée dans Java, un programme installé sur des centaines de millions d’ordinateurs dans le monde. Cet article vise à répondre à certaines des questions les plus fréquemment posées sur la vulnérabilité et à décrire les étapes simples que les utilisateurs peuvent suivre pour se protéger.
Mise à jour, 13 janvier, 20 h 14 HE: Oracle vient de publier un correctif pour corriger cette vulnérabilité. En savoir plus ici.
Q : Qu’est-ce que Java, au fait ?
R : Java est un langage de programmation et une plate-forme informatique qui alimente des programmes tels que des utilitaires, des jeux et des applications professionnelles. Selon le fabricant Java Oracle Corp., Java s’exécute sur plus de 850 millions d’ordinateurs personnels dans le monde et sur des milliards d’appareils dans le monde, y compris des appareils mobiles et des téléviseurs. Il est requis par certains sites Web qui l’utilisent pour exécuter des jeux et des applications interactifs.
Q : Alors, pourquoi tout ce remue-ménage ?
R : Des chercheurs ont découvert que des cybercriminels s’attaquent à une faille de sécurité jusque-là inconnue dans Java 7 qui peut être utilisé pour prendre le contrôle d’un ordinateur si un utilisateur visite un site Web compromis ou malveillant.
Q : Ouais. Comment protéger mon ordinateur ?
R : La version de Java qui s’exécute sur la plupart des PC grand public inclut un plug-in de navigateur. Selon des chercheurs de L’université de Carnegie Mellonc’est CERT, débrancher le plug-in Java du navigateur empêche essentiellement l’exploitation de la vulnérabilité. Il n’y a pas si longtemps, déconnecter Java du navigateur n’était pas simple, mais avec la sortie de la dernière version de Java 7 — Mise à jour 10 — Oracle a inclus une méthode très simple pour supprimer Java du navigateur. Vous pouvez trouver leurs instructions pour le faire ici.
Q : Comment savoir si Java est installé, et si oui, quelle version ?
R : Le moyen le plus simple est de visiter ce lien et cliquez sur le lien « Ai-je Java », juste en dessous du gros bouton rouge « Télécharger Java ».
Q : J’utilise Java 6. Cela signifie-t-il que je n’ai pas à m’en soucier ?
R : Il y a eu des conclusions contradictoires sur ce front. La description de ce bogue à la Base de données nationale sur la vulnérabilité (NVD), par exemple, indique que la vulnérabilité est présente dans des versions de Java remontant à plusieurs années, y compris les versions 4 et 5. Analystes du cabinet de recherche sur les vulnérabilités Immunité dire que le bogue pourrait avoir un impact sur Java 6 et éventuellement sur les versions antérieures. Mais Will Dormanun expert en sécurité qui a examiné de près cette faille pour le CERT, a déclaré que l’avis du NVD était incorrect : CERT maintient ce cette vulnérabilité provient d’un composant qu’Oracle a introduit avec Java 7. Dormann désigne un analyse technique détaillée de la faille Java par Adam Gowdiak de Security Explorations, une équipe de recherche en sécurité qui a alerté le fabricant de Java Oracle sur un grand nombre de failles dans Java. Gowdiak dit qu’Oracle a tenté de corriger ce défaut particulier dans une mise à jour précédente mais n’a pas réussi à le résoudre complètement.
Quoi qu’il en soit, il est important de ne pas trop s’attarder sur les versions concernées, car cela pourrait devenir une cible mouvante. De plus, une nouvelle faille zero-day est découverte plusieurs fois par an dans Java. C’est pourquoi j’ai exhorté les lecteurs à désinstaller complètement Java ou à le débrancher du navigateur, quelle que soit la version que vous utilisez.
Q : Un site que j’utilise nécessite souvent l’activation du plug-in Java. Que dois-je faire?
R : Vous pouvez rétrograder vers Java 6, mais ce n’est pas une très bonne solution. Oracle cessera de prendre en charge Java 6 à la fin du mois de février 2013 et effectuera bientôt la transition des utilisateurs de Java 6 vers Java 7 de toute façon. Si vous avez besoin de Java pour des sites Web spécifiques, une meilleure solution consiste à adopter une approche à deux navigateurs. Si vous naviguez normalement sur le Web avec Firefox, par exemple, envisagez de désactiver le plug-in Java dans Firefox, puis d’utiliser un autre navigateur (Chrome, IE9, Safari, etc.) avec Java activé pour parcourir uniquement le ou les sites qui nécessitent( asseoir.
Q : J’utilise un Mac, donc ça devrait aller, n’est-ce pas ?
R : Pas exactement. Les experts ont découvert que cette faille de Java 7 peut être exploitée pour imposer des logiciels malveillants sur Mac et Linux systèmes, en plus des machines Microsoft Windows. Java est conçu pour exécuter des programmes sur plusieurs plates-formes, ce qui le rend particulièrement dangereux lorsque de nouvelles failles sont découvertes. Par exemple, le ver Flashback qui a infecté plus de 600 000 Mac s’est introduit dans les systèmes OS X via une faille Java. Les instructions d’Oracle incluent conseils sur la façon de débrancher Java de Safari. Je dois noter qu’Apple n’a pas fourni de version de Java pour OS X au-delà de 6, mais les utilisateurs peuvent toujours télécharger et installer Java 7 sur les systèmes Mac. Cependant, il semble qu’en réponse à cette menace, Apple ait pris des mesures pour bloquer Java de fonctionner sur les systèmes OS X.
Q : Je ne navigue pas sur des sites aléatoires ou ne visite pas de sites pornographiques douteux, donc je ne devrais pas avoir à m’en soucier, n’est-ce pas ?
Un tort. Cette vulnérabilité est principalement exploitée par des packs d’exploits, qui sont des outils de logiciels criminels conçus pour être intégrés aux sites Web de sorte que lorsque les visiteurs arrivent sur le site avec des plug-ins de navigateur vulnérables/obsolètes (comme ce bogue Java), le site peut installer silencieusement des logiciels malveillants sur le PC du visiteur. Les packs d’exploits peuvent être tout aussi facilement intégrés à des sites pornographiques qu’ils peuvent être insérés dans des sites Web légitimes et piratés. Tout ce qu’il faut, c’est que les attaquants puissent insérer une ligne de code dans un site Web compromis.
Q : J’ai lu à plusieurs endroits que c’est la première fois que le gouvernement américain exhorte les utilisateurs d’ordinateurs à supprimer ou à éviter en gros d’utiliser un logiciel particulier en raison d’une menace généralisée. Est-ce vrai?
R : Pas vraiment. Lors de précédentes situations d’alerte élevée, le CERT a conseillé aux utilisateurs de Windows de éviter d’utiliser Internet Explorer. Dans ce cas, le CERT ne recommande pas vraiment aux utilisateurs de désinstaller Java : simplement que les utilisateurs débranchent Java de leur navigateur Web.
Q : Je suis presque sûr que Java est installé sur mon PC Windows, mais je n’arrive pas à localiser le panneau de configuration Java à partir du menu Démarrer de Windows ou du panneau de configuration Windows. Ce qui donne?
R : Selon Dormann du CERT, en raison de ce qui semble être un bogue potentiel dans le programme d’installation de Java, l’applet du panneau de configuration Java peut être manquante sur certains systèmes Windows. Dans de tels cas, l’applet Java Control Panel peut être lancée en trouvant et en exécutant javacpl.exe manuellement. Ce fichier se trouve probablement dans C:Program FilesJavajre7bin ou C:Program Files (x86)Javajre7bin.
Q : Je ne me souviens pas de la dernière fois que j’ai utilisé Java, et il semble que je n’ai même plus besoin de ce programme. Dois-je le garder ?
R : Java n’est plus aussi largement utilisé qu’il l’était autrefois, et la plupart des utilisateurs peuvent probablement s’en sortir sans avoir installé le programme. J’ai longtemps recommandé aux utilisateurs de supprimer Java à moins qu’ils n’en aient une utilisation spécifique. Si vous découvrez plus tard que vous avez vraiment besoin de Java, il est facile et gratuit de le réinstaller.
Q : C’est un très bon conseil pour les consommateurs, mais je gère de nombreux PC dans un environnement professionnel. Existe-t-il un moyen de déployer Java tout en gardant le plugin déconnecté du navigateur ?
R : Le CERT conseille aux administrateurs système qui souhaitent déployer Java 7 Update 10 ou une version ultérieure avec la fonctionnalité « Activer le contenu Java dans le navigateur » désactivée de pouvoir invoquer le programme d’installation Java avec l’option de ligne de commande WEB_JAVA=0. Plus de détails sont disponibles dans le Documentation Java.
Q : D’accord, je pense que je suis couvert sur Java. Mais qu’en est-il de Javascript ?
R : En raison de la malheureuse similitude de leurs noms, beaucoup de gens confondent Java avec Javascript. Mais ce sont deux choses complètement différentes. La plupart des sites Web utilisent JavaScript, un puissant langage de script qui rend les sites interactifs. Malheureusement, un pourcentage énorme d’attaques basées sur le Web utilisent des astuces JavaScript pour imposer des logiciels malveillants et des exploits aux visiteurs du site. Pour vous protéger, il est extrêmement important de disposer d’une méthode simple pour sélectionner les sites autorisés à exécuter JavaScript dans le navigateur. Il est vrai que l’autorisation sélective de JavaScript sur des sites connus et « sûrs » ne bloquera pas toutes les attaques de scripts malveillants : même les sites légitimes finissent parfois par exécuter du code malveillant lorsque les escrocs trouvent des moyens d’introduire en douce des publicités frauduleuses dans les principaux réseaux publicitaires en ligne. Mais interdire JavaScript par défaut et l’activer de manière sélective pour des sites spécifiques reste une option beaucoup plus sûre que de laisser tous les sites exécuter JavaScript sans restriction tout le temps.
Firefox possède de nombreuses extensions et modules complémentaires qui rendent la navigation sur le Web plus sûre. Une extension que j’ai trouvé indispensable est Aucun script. Cette extension permet à l’utilisateur de décider quels sites doivent être autorisés à exécuter JavaScript, y compris le contenu Flash Player. Les utilisateurs peuvent choisir d’autoriser des exceptions spécifiques de manière permanente ou pour une seule session de navigation.
Chrome inclut également une fonctionnalité similaire de blocage de scripts et de Flash qui semble conçue pour minimiser certains de ces défis en offrant moins d’options. Si vous dites à Chrome de bloquer JavaScript sur tous les sites par défaut, lorsque vous naviguez sur un site qui utilise JavaScript, le coin supérieur droit du navigateur affiche une boîte barrée d’un « X » rouge. Si vous cliquez dessus et sélectionnez « Toujours autoriser JavaScript sur [site name]” il activera définitivement JavaScript pour ce site, mais il ne vous donne pas la possibilité de bloquer le contenu JavaScript tiers sur le site comme le fait Noscript. Lors de mes tests, j’ai dû actualiser manuellement la page avant que Chrome n’autorise les scripts sur un site que je venais de mettre sur liste blanche. De plus, il existe un module complémentaire très pratique pour Chrome appelé NotScripts qui fonctionne très bien comme Noscript.
Le blocage sélectif des scripts peut prendre un certain temps pour s’y habituer. La plupart des modules complémentaires bloquant les scripts désactivent les scripts par défaut sur les sites Web que vous n’avez pas ajoutés à votre liste de confiance. Dans certains cas, plusieurs tentatives peuvent être nécessaires pour qu’un site utilisant intensivement Javascript se charge correctement.
Internet Explorer permet aux utilisateurs de bloquer les scripts, mais même la dernière version d’IE ne donne toujours pas beaucoup de choix à l’utilisateur dans la gestion de JavaScript. Dans IE9, vous pouvez choisir parmi JavaScript activé, désactivé ou vous invitant à charger JavaScript. Désactiver JavaScript n’est pas vraiment une option, mais le laisser complètement ouvert n’est pas sûr. Choisir l’option « Invite » ne fait que servir des invites contextuelles incessantes pour autoriser ou interdire les scripts (voir la vidéo ci-dessous). L’absence d’une approche plus simple du blocage des scripts dans IE est l’une des principales raisons pour lesquelles je continue à orienter les lecteurs vers Firefox et Chrome.