Java? De moins en moins sûr, alerte Trend Micro
Selon Trend Micro, les attaques visant Java profitent de l’obsolescence d’une version 6 encore largement utilisée et gagnent de manière préoccupante en sophistication.
«Certaines situations prennent une tournure critique très discrètement, si discrètement que peu de gens s’en aperçoivent.» C’est ainsi que Christopher Budd, responsable de la communication sur les menaces de Trend Micro, entame son billet pour décrire la posture de sécurité de Java. Et d’expliquer que, si Oracle a bien pris la mesure de la situation, «tout porte à penser que cette [posture] aggravée va perdurer, et probablement même empirer avant de s’améliorer.»
Car selon les observations de l’éditeur, «on constate des attaques visant des vulnérabilités non corrigées dans Java 6, une version qui n’est plus supportée mais reste largement déployée.» Comme le souligne Christopher Budd, Java 6 ne reçoit plus de correctifs de sécurité depuis février dernier. Mais «plus de 50 % des utilisateurs continuer d’utiliser Java 6.» Et de citer en exemple un exploit visant une vulnérabilité corrigée dans Java 7, mais pas dans la version antérieure. Des attaques «encore peu répandues», reconnaît-il, mais «intégrées au kit d’exploit Neutrino», ce qui laisse présager de la prolifération de ces attaques.
Pire, selon Christopher Budd, «on observe un accroissement de la sophistication des attaques», avec des opérations visant la couche Java Native Layer. Et pour lui, ces développements rendent la situation «difficile à gérer.» Surtout, si Java 6 est actuellement visé par ces attaques de bas niveau, il est «probable» que Java 7 traverse prochainement «des temps difficiles.» Globalement, «la sophistication croissante de ces attaques nous indique que les attaquants deviennent très familiers et très à l’aise avec Java en tant que plateforme à attaquer.»
Et de Christopher Budd de conseiller de «faire d’une priorité le passage à la dernière version supportée de Java.» Pour ceux qui ne le pourraient pas, «soyez sûrs d’avoir une bonne protection active contre les attaques.» Et enfin... «si vous n’en avez pas besoin [de Java], désactivez-le.» Reste la menace pour les systèmes embarqués, difficiles voire impossibles à mettre à jour : là, il faut protéger «le réseau lui-même.»
Christopher Budd dresse enfin un parallèle avec Windows XP, pour lequel Microsoft cessera de fournir des correctifs de sécurité en mai 2014 : l’industrie tout entière devrait, selon lui, suivre l’exemple de la posture de sécurité de Java 6 pour préparer la fin complète du support de Windows XP.