Pourquoi Java pose-t-il moins de risques pour la sécurité sous Windows, Mac et Linux?

Java, un composant essentiel du Web, a perdu de sa popularité au cours des dernières années. La plupart des navigateurs modernes bloquent Java par défaut et la majorité des utilisateurs à domicile n’ont plus besoin de l’installer..

Nous savons depuis longtemps que Java est le logiciel le plus sûr pour les ordinateurs de bureau, en particulier Windows. Mais est-ce toujours vrai? Creusons et découvrons.

Les problèmes historiques avec Java

La raison principale pour laquelle Java est devenu une cible d'attaque si populaire est son étendue. Parce que Java a été conçu pour une compatibilité maximale, il fonctionne sur une multitude de périphériques. Outre les ordinateurs, Java alimente les lecteurs Blu-ray, les imprimantes, les systèmes de paiement en stationnement, les appareils de loterie, etc. C'est le contraire de la sécurité par l'obscurité: une plate-forme majeure offre le meilleur retour sur investissement pour une attaque.

Bien sûr, nous sommes concernés par Java sur le bureau. Et là, la pire offense est que Java ne se met pas à jour automatiquement. Contrairement à la plupart des programmes modernes, Java demande simplement à l'utilisateur d'installer les mises à jour lorsqu'elles sont disponibles. Pire encore, par défaut, Java ne vérifie les mises à jour qu'une fois par semaine, voire une fois par mois. C'est dangereux pour une application avec autant de failles de sécurité.

De nombreuses personnes voient l'invite de mise à jour et l'ignorent, ce qui les oblige à exécuter une version obsolète de Java. Et avec les nouvelles versions proposées régulièrement, même ceux qui installent des mises à jour peuvent être frustrés et en ignorer d'autres. Dans certains cas, même lorsque les utilisateurs installent une nouvelle version, ils conservent également l'ancienne copie de Java. Cela élargit leur vulnérabilité aux attaques.

Bien sûr, nous ne pouvons pas oublier la longue saga de Java qui inclut l'incroyable terrible Ask Toolbar. Chaque fois que vous installiez ou mettiez à jour Java, vous deviez vous rappeler de décocher une case, sinon cela inclurait ce morceau. Bien que ce ne soit pas un exploit, cela a laissé un mauvais goût dans la bouche des utilisateurs.

Java a 22 ans aujourd'hui.

Nous devrions envoyer un gâteau à Oracle avec la barre d’outils Ask.

- Tim Barrett (@timbarrett) le 24 janvier 2018

Java moderne

Voilà donc ce qui n'allait pas avec Java dans le passé, mais qu'en est-il récemment?

En octobre 2017, Veracode a découvert [Non disponible plus] que 88% des applications Java contiennent au moins un composant vulnérable. Début 2016, Oracle a annoncé que même le programme d'installation de Java était vulnérable. Si un attaquant place un fichier DLL avec un nom spécifique dans votre dossier Téléchargements, cela déclenchera une infection lorsque vous exécutez le programme d'installation de Java. Et en général, en raison de la popularité de Java, il vous suffirait de visiter un site Web compromis qui exploitait votre copie obsolète de Java pour être infecté..

Bien que cela signifie que Java soit loin d'être sûr, il y a de bonnes nouvelles également. Début 2016, Oracle a annoncé qu'il envisageait de rendre obsolète le plug-in de navigateur Java (source de la plupart des problèmes) dans JDK 9, disponible dès maintenant. Les navigateurs modernes ont également quitté Java. Chrome a cessé la prise en charge de Java à la fin de 2015 et Firefox a cessé de la prendre en charge au début de 2017. Le navigateur Edge de Microsoft, inclus dans Windows 10, ne prend pas en charge Java du tout..

Cela signifie que si vous avez vraiment besoin d'utiliser Java dans un navigateur, vous devrez vous en tenir à Internet Explorer..

Les plus grandes vulnérabilités

Depuis que Java gagne en popularité, ce qui a pris sa place comme logiciel de bureau le plus peu sécurisé?

Les dernières données de Flexera, du premier trimestre 2017, révèlent que 7,8% des programmes d'un PC moyen ont atteint la fin de leur vie. Il classe les 10 meilleurs programmes les plus exposés, en fonction de la part de marché multipliée par le pourcentage d’utilisateurs non corrigés:

1. iTunes 12.x
2. Java 8.x
3. VLC Media Player 2.x
4. Adobe Reader XI 11.x
5. Adobe Shockwave Player 12.x
6. Malwarebytes Anti-Malware 2.x
7. Kindle pour PC 1.x
8. Adobe Acrobat Reader DC 15.x
9. uTorrent 3.x
10. iCloud pour Windows 6.x

Cette liste peut vous surprendre. Bien que Java ne soit pas le programme le plus risqué, il reste le deuxième. D'autres programmes que nous n'associons généralement pas à des risques de sécurité, tels que VLC et Malwarebytes, tiennent également une place. Ceci illustre l’importance de garder tous vos logiciels à jour, pas seulement les plus populaires..

Nous pouvons en voir plus en consultant le rapport de sécurité du troisième trimestre 2017 d'Avast. Il répertorie les 10 programmes les plus obsolètes sur les ordinateurs de ses utilisateurs:

1. Java 6, 7 et 8
2. Adobe AIR
3. Adobe Shockwave
4. VLC Media Player
5. iTunes
6. Firefox
7. 7-Zip
8. WinRAR
9. Quick Time
10. Adobe Flash Player

Lorsque vous incluez les anciennes versions, il semble que Java soit toujours en tête du logiciel le moins mis à jour. Les plugins d'Adobe sont aussi de gros coupables, et nous voyons iTunes et VLC également faire cette liste.

À l'inverse, selon TechRadar, Chrome s'impose pour les applications mises à jour. Lors de l'enquête, la dernière version était installée sur 88% des utilisateurs de Chrome. Cela montre à quel point les mises à jour automatiques silencieuses font une énorme différence par rapport aux invites de mise à jour lancinantes utilisées par les environnements d'exécution Java et Adobe..

Ne pas oublier les mises à jour du système d'exploitation

Un autre élément essentiel de la mise à jour à retenir est la mise à jour du système d'exploitation. N'oubliez pas que les utilisateurs disposant de mises à jour automatiques ont été épargnés par la terrible attaque de ransomware du milieu de 2017 L'attaque globale de ransomware et la protection de vos données L'attaque globale de Ransomware et la protection de vos données Une cyberattaque massive a frappé des ordinateurs du monde entier. Avez-vous été affecté par le ransomware auto-réplicant hautement virulent? Si non, comment pouvez-vous protéger vos données sans payer la rançon? . Même si vous maintenez des logiciels tels que Java à jour, votre ordinateur est toujours exposé si vous n'installez pas de mises à jour Windows..

Windows 10 facilite ces mises à jour automatiques Avantages et inconvénients des mises à jour forcées dans Windows 10 Avantages et inconvénients des mises à jour forcées dans Windows 10 Les mises à jour changent dans Windows 10. Vous pouvez maintenant choisir. Windows 10, cependant, forcera les mises à jour sur vous. Cela présente des avantages, comme une sécurité renforcée, mais cela peut aussi mal tourner. De plus, ceux de Windows 7 les ont peut-être désactivés. Et ceux qui utilisent encore Windows XP près de quatre ans après sa fin de vie courent un risque majeur.

Quel est le danger de Java, vraiment?

Dans l’ensemble, pouvons-nous toujours dire que Java est le plus gros risque pour la sécurité des ordinateurs de bureau? Pas vraiment. Du côté négatif, les utilisateurs continuent à utiliser des versions obsolètes de Java, même s'ils n'en ont vraiment pas besoin. Cela les ouvre aux vulnérabilités de sécurité. Cependant, comme la plupart des navigateurs ne supportent plus Java, ils ne sont plus sujets aux attaques, comme ils l'étaient auparavant..

Le maillon faible de la sécurité de votre ordinateur provient du logiciel le plus populaire que vous ne tenez pas à jour.. Si vous possédez la dernière version de Java mais que vous n'avez toujours pas désinstallé QuickTime pour Windows non pris en charge, le risque est élevé. Avoir une version obsolète de Flash, Adobe Reader ou iTunes pourrait vous exposer à des attaques aussi.

Ambiance actuelle: refuser une mise à jour de logiciel pendant 18 mois et maintenant l'outil de téléchargement est obsolète

- les mites! ? autistique! ? (@ 13_moths) 12 février 2018

Les données ci-dessus permettent de comprendre que les programmes sans mises à jour automatiques sont généralement les moins sécurisés. Par exemple, iTunes demande constamment aux utilisateurs de se mettre à jour, ce qui est agaçant. Cela conduit les gens à ignorer les mises à jour et à laisser une version non sécurisée installée.

Qu'en est-il de Mac et Linux?

Nous nous sommes concentrés sur Java pour Windows ci-dessus, mais il convient de mentionner rapidement comment cela affecte également les utilisateurs de Mac et de Linux..

Étonnamment, alors qu'Apple ne laisse pas les plugins fonctionner par défaut dans Safari, le navigateur prend toujours en charge les anciens plugins tels que Java et Silverlight. Bien que vous deviez désinstaller Java sur votre Mac sauf si vous en avez besoin pour une raison particulière, Java n'a pas causé autant de problèmes pour les utilisateurs de Mac que sous Windows. Récemment, la plupart des failles de sécurité dans macOS ont été causées par des oublis de Apple.

J'ai besoin d'installer NetBeans pour quelque chose. La version Mac est livrée sous la forme d'un package d'installation (!), Qui était un drapeau rouge. Mais ensuite, il m'a demandé d'installer Java…

Nan. Nope Nope Nope. Nooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooope.

- Mange les riches (@_nulldragon) 8 février 2018

Linux n'a pas vu non plus de vulnérabilités Java uniques. Si vous avez besoin d'un navigateur prenant en charge Java sous Linux, vous pouvez essayer la version ESR (Extended Support Release) de Firefox. Firefox fournit cette version pour les environnements professionnels; il fournit les dernières mises à jour de sécurité mais attend plus longtemps pour déployer les mises à jour des fonctionnalités. La version actuelle, 52, supporte Java et d'autres plugins existants seront disponibles jusqu'au deuxième trimestre 2018..

Un avenir sans plugin

La bonne nouvelle est que vous n'avez pas besoin de la plupart de ces plugins potentiellement dangereux et gênants. Pensez-vous que Flash est le seul plug-in non sécurisé? Pensez à nouveau Pensez Flash est le seul plugin non sécurisé? Think Again Flash n'est pas le seul plug-in de navigateur à présenter un risque pour votre sécurité et votre confidentialité en ligne. Voici trois autres plugins que vous avez probablement installés dans votre navigateur, mais que vous devriez désinstaller aujourd'hui. installé plus. Très peu de sites Web utilisent Java, et le principal programme que les gens ont gardé installé pour eux-Minecraft - comprend une version sécurisée de Java fournie. Comment installer la version complète de Minecraft sur un ordinateur Linux Comment installer la version complète de Minecraft sur Linux PC Minecraft est l’un des plus gros jeux au monde et fonctionne sur pratiquement toutes les plateformes. Voulez-vous le faire fonctionner sur votre ordinateur Linux? Nous allons vous montrer comment. . Les autres plugins ne sont pas nécessaires non plus. Il y a plusieurs années, Microsoft a déconseillé d'utiliser Silverlight et il serait difficile de trouver un site avec du contenu Shockwave..

Flash est la seule exception. Die Flash Die: L'histoire continue des entreprises technologiques qui tentent de tuer Flash Die Die: L'évolution actuelle des entreprises technologiques qui essaient de tuer Flash La mémoire flash est en déclin depuis longtemps, mais quand mourra-t-elle? . La plupart des navigateurs le prennent encore en charge en raison de sa popularité, mais Adobe le tuerait en 2020. D'ici là, veillez à mettre à jour Flash sur votre PC. Chrome le fait automatiquement, de sorte que vous ne l'avez peut-être même plus installé (ce qui est excellent)..

En bref, Java n’est toujours pas sécurisé, mais présente moins de risques, car les navigateurs le désactivent. Vous devez désinstaller les programmes dont vous n’avez pas besoin (y compris les anciens plugins), maintenir le logiciel de votre ordinateur à jour et appliquer les mises à jour du système d’exploitation. Si vous faites cela, vous serez aisé.