Fotolia
Oracle prépare le départ en retraite du plug-in Java
Oracle vient de dévoiler ses projets pour l’abandon progressif de son extension Java pour navigateur Web, un vecteur d’attaque parmi les plus populaires.
Enfin ! C’est avec un soulagement non dissimulé que beaucoup ont accueilli la nouvelle : Oracle s’apprête à déclarer obsolète son extension Java pour navigateur Web. La sortie de la prochaine version de son kit de développement Java sera l’occasion pour lui de demander aux développeurs de migrer vers sa nouvelle technologie Java Web Start.
Une surprise ? Un choix ? Ni l’un ni l’autre, en fait. Oracle ne fait ici que tirer les conséquences de l’abandon programmé du support des plug-ins NPAPI par les navigateurs Web. Google l’avait annoncé pour Chrome en septembre 2013. La version 42 de son navigateur, lancée en avril 2015, le désactivait déjà par défaut. Et à l’automne dernier, Oracle s’est ému de l’abandon programmé des extensions NPAPI par Firefox, tout juste annoncé par la fondation Mozilla. Il mettait alors en cause les navigateurs Web des terminaux mobiles – ceux-là même qui avaient été moqués initialement pour leur absence de support de Java et de Flash.
Mais aujourd’hui, Oracle reconnaît ne pas avoir le choix : « fin 2015, de nombreux éditeurs de navigateurs Web ont soit supprimé soit annoncé un calendrier de retrait du support des plug-ins basés sur des standards, éliminant la possibilité d’intégrer des technologies basées sur des extensions telles que Flash, Silverlight et Java ».
Le plug-in Java sera donc considéré comme obsolète avec la version 9 du kit de développement Java, et il sera recommandé aux développeurs de migrer leurs applets sur Java Web Start, qui permet d’exécuter des applets dans un navigateur Web, sans utiliser de plug-in.
Toutefois, Oracle recommande aux développeurs, en cas d’échec de la migration, de créer des installateurs natifs pour leurs applications, ou d’utiliser une fonctionnalité appelée WebView, qui permet aux applications d’utiliser une version intégrée de WebKit pour assurer le rendu de contenu HTML.
Morey Haber, vice-président technologie chez BeyondTrust, estime que cette migration pourrait se traduire par de nombreux défis pour les développeurs : « je connais de nombreuses applications dans les services financiers et la santé, qui sont entièrement écrites en Java et pour lesquelles il faudra trouver des alternatives. Il y a bien un chemin de transition, mais les applications historiques de professionnels tels que les radiologues ou les conseillers en patrimoine vont nécessiter de vieux navigateurs, continuer d’être vulnérables, et de représenter un risque exponentiel pour les utilisateurs et leurs données, jusqu’à ce qu’ils migrent ».
Et pour lui, Web Start risque ne pas offrir mieux en matière de sécurité : « les vulnérabilités Java Web Start peuvent être exploitées tout autant que celles des applets. Donc, même une fois que le plug-in sera en fin de vie, les utilisateurs devront mettre à jour Java pour profiter des correctifs ».
Oracle n’a pas annoncé de date de fin de vie pour le plug-in Java, et certains experts estiment que la plupart des entreprises ne passeront pas à Web Start avant un ou deux ans. Voire 10 ans pour certaines. Dès lors, Tod Beardsley, directeur de recherche en sécurité chez Rapid7, encourage les entreprises à engager les efforts de migration vers Web Start au plus vite, car les attaquants pourraient bien renouveler leurs efforts visant le plug-in Java : « comme avec l’arrêt du support de Windows XP, nous ne pouvons pas nous attendre à ce que la fin du support du plugin Java éradique instantanément les applications qui s’appuient dessus. Le grand public ne l’utilise quasiment plus, mais il reste présent dans de nombreuses entreprises pour leurs applications métiers ».
Avec nos confrères de SearchSecurity.com