au sommaire
Au milieu de l'année 2010, les attaques ciblant Java ont brutalement augmenté, affirme Microsoft. © MMPC
Microsoft veut faire peur. Dans un article intitulé Have you checked the Java ? (Avez-vous testé JavaJava ?), publié sur le blog du Microsoft Malware Protection Center, une certaine Holly Stewart explique que les attaques contre Java ont bondi à partir de l'été 2010 pour atteindre au troisième trimestre un pic de 6,5 millions.
Ces nouvelles offensives ont ciblé trois vulnérabilités connues et qui ont toutes fait l'objet d'un patch, en décembre 2008 pour le plus ancien, en décembre 2009 pour le suivant et cette année pour le dernier. OracleOracle, l'éditeur de Java (depuis l'acquisition de Sun Microsystems), en publie régulièrement (celle de la semaine dernière, par exemple, corrigeait une trentaine de failles). Ces « exploits », comme disent les informaticiens, mettent donc en évidence une défaillance des mises à jour de Java. Et c'est bien là le message que veut faire passer Holly Stewart. « Java est une technologie tournant en tâche de fond pour faire fonctionner des composants plus visibles, rappelle-t-elle. Comment savez-vous si Java est installé ou s'il est lancé ? »
Selon elle, les spécialistes de la sécurité s'occupant du réseau d'une entreprise ne se préoccupent guère de Java, un élément peu visible, une sorte de boîte noire dont on néglige facilement les mises à jour. De plus, estime-t-elle, il existe une explication au fait que ce pic d'attaques n'ait pas attiré l'attention. Les responsables de la sécurité rechignent à ajouter un interpréteur Java dans les systèmes de protection, ce qui permettrait d'empêcher les intrusions via les documents multimédias. En effet, ces vérifications supplémentaires dégraderaient trop les performances du réseau. Résultat : les attaques passent inaperçues. C'est ce que Holly Stewart nomme la « cécité Java ».
Pour autant, elle reconnaît un second facteur : le faible nombre des attaques. Même si des chiffres exprimés en millions peuvent faire frémir, ils restent faibles en comparaison des attaques classiques, comme celles des botnets. Par ailleurs, toutes les attaques enregistrées ne sont pas nécessairement réussies. Pensez tout de même à mettre à jour Java sur votre ordinateurordinateur...