Pourquoi Java présente moins de risques pour la sécurité maintenant sur Windows, Mac et Linux

Publicité

Java, autrefois un élément essentiel du Web, a perdu en popularité au cours des dernières années. La plupart des navigateurs modernes bloquent Java par défaut, et la majorité des utilisateurs à domicile n'ont plus besoin de l'installer.

Nous entendons depuis longtemps que Java est le logiciel le moins sûr pour les ordinateurs de bureau, en particulier Windows. Mais est-ce toujours vrai? Creusons et découvrons.

Les problèmes historiques avec Java

La principale raison pour laquelle Java est devenu une cible d'attaque si populaire est sa diffusion. Parce que Java a été conçu pour une compatibilité maximale, il s'exécute sur une multitude de périphériques. En plus des ordinateurs, Java alimente les lecteurs Blu-ray, les imprimantes, les systèmes de paiement de stationnement, les appareils de loterie et bien plus encore. C’est le contraire de la sécurité par l'obscurité: une plateforme majeure offre le meilleur gain pour une attaque.

Bien sûr, nous nous intéressons à Java sur le bureau. Et là, la pire infraction est que Java ne se met pas automatiquement à jour. Contrairement à la plupart des autres programmes modernes, Java demande simplement à l'utilisateur d'installer les mises à jour lorsqu'elles sont disponibles. Pire encore, par défaut, Java ne vérifie les mises à jour qu'une fois par semaine ou même une fois par mois. C'est dangereux pour une application avec autant de failles de sécurité.

De nombreuses personnes voient l'invite de mise à jour et l'ignorent, ce qui les oblige à exécuter une version obsolète de Java. Et avec les nouvelles versions proposées régulièrement, même ceux qui installent des mises à jour peuvent être frustrés et en ignorer d'autres. Dans certains cas, même lorsque les utilisateurs installent une nouvelle version, ils laissent également l'ancienne copie de Java installée. Cela élargit leur vulnérabilité aux attaques.

Bien sûr, nous ne pouvons pas oublier la longue saga de Java consistant à inclure la terrible barre d'outils Ask. Chaque fois que vous installez ou mettez à jour Java, vous devez vous rappeler de décocher une case ou cela inclurait ce morceau de courrier indésirable. Bien que ce ne soit pas un exploit, cela a laissé un mauvais goût dans la bouche des utilisateurs.

Java fête ses 22 ans aujourd'hui.

Nous devrions envoyer un gâteau à Oracle avec la barre d'outils Ask dessus.

- Tim Barrett (@timbarrett) 24 janvier 2018

Java moderne

C'est donc ce qui n'allait pas avec Java dans le passé, mais qu'en est-il récemment?

En octobre 2017, Veracode a constaté [No Longer Available] que 88% des applications Java contiennent au moins un composant vulnérable. Début 2016, Oracle a annoncé que même l'installateur Java était vulnérable. Si un attaquant plaçait un fichier DLL avec un nom spécifique dans votre dossier Téléchargements, cela déclencherait une infection lorsque vous exécutiez le programme d'installation Java. Et en général, en raison de la popularité de Java, il vous suffit de visiter un site Web compromis qui a profité de votre copie obsolète de Java pour être infectée.

Bien que cela signifie que Java est loin d'être sûr, il y a aussi de bonnes nouvelles. Début 2016, Oracle a annoncé qu'il prévoit de déprécier le plug-in de navigateur Java (qui est la source de la plupart des problèmes) dans JDK 9, qui est maintenant disponible. Les navigateurs modernes ont également laissé Java derrière. Chrome a abandonné la prise en charge de Java fin 2015, et Firefox a cessé de le supporter début 2017. Le navigateur Edge de Microsoft, inclus avec Windows 10, ne prend pas du tout en charge Java.

Cela signifie que si vous avez vraiment besoin d'utiliser Java dans un navigateur, vous devrez vous en tenir à Internet Explorer.

Les plus grandes vulnérabilités

Étant donné que Java est en baisse de popularité, qu'est-ce qui a pris sa place en tant que logiciel de bureau le plus dangereux?

Dernières données de Flexera, à partir du T1 2017, révèle que 7,8% des programmes sur le PC moyen ont atteint la fin de leur vie. Il classe les 10 programmes les plus exposés, en fonction de la part de marché multipliée par le pourcentage d'utilisateurs qui ne sont pas corrigés:

1. iTunes 12.x
2. Java 8.x
3. VLC Media Player 2.x
4. Adobe Reader XI 11.x
5. Adobe Shockwave Player 12.x
6. Malwarebytes Anti-Malware 2.x
7. Kindle pour PC 1.x
8. Adobe Acrobat Reader DC 15.x
9. uTorrent 3.x
10. iCloud pour Windows 6.x

Cette liste peut vous surprendre. Bien que Java ne soit pas le programme le plus risqué, il est toujours le deuxième. D'autres programmes que nous n'associons généralement pas aux risques de sécurité, comme VLC et Malwarebytes, tiennent également une place. Cela illustre l'importance de maintenir tous vos logiciels à jour, pas seulement les plus populaires.

On peut voir plus en examinant Rapport de sécurité du troisième trimestre 2017 d'Avast. Il répertorie les 10 programmes les plus obsolètes sur les PC de ses utilisateurs:

1. Java 6, 7 et 8
2. Adobe AIR
3. Adobe Shockwave
4. VLC Media Player
5. iTunes
6. Firefox
7. 7-Zip
8. WinRAR
9. Quick Time
10. Adobe Flash Player

Lorsque vous incluez les anciennes versions, il semble que Java soit toujours en tête des logiciels les moins mis à jour. Les plugins d'Adobe sont également de grands coupables, et nous voyons qu'iTunes et VLC ont également fait cette liste.

Inversement, selon TechRadar, Chrome arrive en tête pour les applications mises à jour. Lors de l'enquête, 88% des utilisateurs de Chrome avaient installé la dernière version. Cela montre à quel point les mises à jour automatiques silencieuses font une énorme différence par rapport aux invites de mise à jour lancinantes utilisées par les runtimes Java et Adobe.

N'oubliez pas non plus les mises à jour du système d'exploitation

Un autre élément essentiel de la mise à jour à retenir est les mises à jour du système d'exploitation. N'oubliez pas que les utilisateurs qui ont installé des mises à jour automatiques ont été épargnés la terrible attaque de ransomware à la mi-2017 L'attaque mondiale contre les ransomwares et comment protéger vos donnéesUne cyberattaque massive a frappé les ordinateurs du monde entier. Avez-vous été affecté par le ransomware auto-répliquant hautement virulent? Sinon, comment pouvez-vous protéger vos données sans payer la rançon? Lire la suite . Même si vous gardez à jour des logiciels comme Java, votre ordinateur est toujours à risque si vous n'installez pas les mises à jour Windows.

Windows 10 facilite ces mises à jour automatiques Avantages et inconvénients des mises à jour forcées dans Windows 10Les mises à jour changeront dans Windows 10. En ce moment, vous pouvez choisir. Windows 10, cependant, vous imposera des mises à jour. Il présente des avantages, comme une sécurité améliorée, mais il peut également mal tourner. Quoi de plus... Lire la suite , mais ceux de Windows 7 peuvent les avoir désactivés. Et ceux qui utilisent encore Windows XP près de quatre ans après sa fin de vie s'exposent à des risques majeurs.

À quel point Java est-il vraiment dangereux?

Dans l'ensemble, pouvons-nous encore dire que Java est le plus grand risque de sécurité pour les ordinateurs de bureau? Pas vraiment. Du côté négatif, les gens continuent d'exécuter des versions obsolètes de Java même s'ils n'en ont vraiment pas besoin. Cela les ouvre à des failles de sécurité. Cependant, comme la plupart des navigateurs ne prennent plus en charge Java, ils ne sont pas ouverts aux attaques comme ils l'étaient autrefois.

Le maillon faible de la sécurité de votre ordinateur provient du logiciel le plus populaire que vous ne tenez pas à jour. Si vous disposez de la dernière version de Java mais que vous ne l'avez toujours pas désinstallé le QuickTime non pris en charge pour Windows, c'est un gros risque. Avoir une version obsolète de Flash, d'Adobe Reader ou d'iTunes pourrait également vous ouvrir à des attaques.

humeur actuelle: refuser une mise à jour du logiciel pendant 18 mois et maintenant l'outil à télécharger est obsolète

- papillons (@ 13_moths) 12 février 2018

Nous pouvons déduire des données ci-dessus que les programmes sans mises à jour automatiques sont généralement les moins sécurisés. Par exemple, iTunes demande constamment aux utilisateurs de mettre à jour, ce qui est ennuyeux. Cela conduit les gens à ignorer les mises à jour et à laisser une version non sécurisée installée.

Et Mac et Linux?

Nous nous sommes concentrés sur Java pour Windows ci-dessus, mais il convient de mentionner rapidement comment cela affecte également les utilisateurs de Mac et Linux.

Étonnamment, alors qu'Apple ne permet pas aux plugins de s'exécuter par défaut dans Safari, le navigateur prend toujours en charge les anciens plugins comme Java et Silverlight. Bien que vous deviez désinstaller Java sur votre Mac, sauf si vous en avez besoin pour une raison spécifique, Java n'a pas causé autant de problèmes aux utilisateurs de Mac que sur Windows. Dernièrement, la plupart des failles de sécurité dans macOS ont été grâce aux oublis d'Apple lui-même.

J'ai besoin d'installer NetBeans pour quelque chose. La version Mac est livrée en tant que package d'installation (!), Qui était un drapeau rouge. Mais ensuite, il voulait que j'installe Java…

Nan. Non, non, non. Noooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooope.

- Cyberpunk 2077 suce (@_nulldragon) 8 février 2018

Linux n'a pas non plus vu de vulnérabilités Java uniques. Si vous avez besoin d'un navigateur prenant en charge Java sous Linux, vous pouvez essayer le Version ESR (Extended Support Release) de Firefox. Firefox fournit cette version pour les environnements professionnels; il fournit les dernières mises à jour de sécurité mais attend plus longtemps pour déployer les mises à jour des fonctionnalités. La version actuelle, 52, prend en charge Java et d'autres plugins hérités seront disponibles jusqu'au deuxième trimestre 2018.

Un avenir sans plugin

La bonne nouvelle est que vous n'avez pas besoin de la plupart de ces plugins potentiellement dangereux et ennuyeux Pensez que Flash est le seul plugin non sécurisé? Détrompez-vousFlash n'est pas le seul plugin de navigateur qui présente un risque pour votre confidentialité et votre sécurité en ligne. Voici trois autres plugins que vous avez probablement installés dans votre navigateur, mais que vous devriez désinstaller aujourd'hui. Lire la suite plus installé. Très peu de sites Web utilisent Java et le principal programme pour lequel les gens ont gardé Java installé — Minecraft—inclut maintenant une version sécurisée de Java Comment installer la version complète de Minecraft sur un PC LinuxMinecraft est l'un des plus grands jeux du monde et fonctionne sur pratiquement toutes les plateformes. Vous voulez le faire fonctionner sur votre ordinateur Linux? Nous allons vous montrer comment. Lire la suite . D'autres plugins ne sont pas nécessaires non plus. Microsoft a déconseillé Silverlight il y a des années, et vous auriez du mal à trouver un site avec du contenu Shockwave.

Flash est la seule exception Die Flash Die: L'histoire en cours des entreprises technologiques essayant de tuer FlashLe flash est en déclin depuis longtemps, mais quand mourra-t-il? Lire la suite . La plupart des navigateurs le supportent toujours en raison de sa popularité, mais Adobe le tuera en 2020. D'ici là, veillez à mettre à jour Flash sur votre PC. Chrome le fait automatiquement, il est donc possible que vous ne l'ayez plus installé (ce qui est génial).

Donc en bref: Java n'est toujours pas sûr mais pose moins de risques grâce à la désactivation des navigateurs. Vous devez désinstaller les programmes dont vous n'avez pas besoin (y compris les anciens plug-ins), maintenir le logiciel à jour sur votre ordinateur et appliquer les mises à jour du système d'exploitation. Si vous faites cela, vous serez aisé.

Crédit d'image: avemario /Depositphotos