Pourquoi Java est maintenant moins un risque de sécurité sur Windows, Mac et Linux

Pourquoi Java est maintenant moins un risque de sécurité sur Windows, Mac et Linux

Java, autrefois un composant essentiel du Web, a perdu de sa popularité au cours des dernières années. La plupart des navigateurs modernes bloquent Java par défaut et la majorité des utilisateurs à domicile n'ont plus besoin de l'installer.





Nous avons longtemps entendu dire que Java est le logiciel le moins sécurisé pour les ordinateurs de bureau, en particulier Windows. Mais est-ce encore vrai ? Creusons et découvrons.



Les problèmes historiques avec Java

La principale raison pour laquelle Java est devenu une cible d'attaque si populaire est sa généralisation. Parce que Java a été conçu pour une compatibilité maximale, il s'exécute sur une multitude d'appareils. En plus des ordinateurs, Java alimente les lecteurs Blu-ray, les imprimantes, les systèmes de paiement de stationnement, les appareils de loterie et bien plus encore. C'est le contraire de la sécurité par l'obscurité : une plate-forme majeure fournit le meilleur rendement pour une attaque.





Bien sûr, nous nous intéressons à Java sur le bureau. Et là, le pire c'est que Java ne se met pas à jour automatiquement. Contrairement à la plupart des autres programmes modernes, Java demande simplement à l'utilisateur d'installer les mises à jour lorsqu'elles sont disponibles. Pire encore, par défaut, Java ne vérifie les mises à jour qu'une fois par semaine ou même une fois par mois. C'est dangereux pour une application avec autant de failles de sécurité.

rotation de vidéos sur Windows Media Player

De nombreuses personnes voient l'invite de mise à jour et l'ignorent, ce qui les oblige à exécuter une version obsolète de Java. Et avec de nouvelles versions proposées régulièrement, même ceux qui installent certaines mises à jour peuvent être frustrés et ignorer les autres. Dans certains cas, même lorsque les utilisateurs installent une nouvelle version, ils laissent également l'ancienne copie de Java installée. Cela élargit leur vulnérabilité aux attaques.



Bien sûr, nous ne pouvons pas oublier la longue saga de Java consistant à inclure la terrible barre d'outils Ask . Chaque fois que vous installiez ou mettez à jour Java, vous deviez vous rappeler de décocher une case, sinon cela inclurait ce morceau de courrier indésirable. Bien que n'étant pas un exploit, cela a laissé un mauvais goût dans la bouche des utilisateurs.

Java moderne

C'est donc ce qui n'allait pas avec Java dans le passé, mais qu'en est-il récemment ?



En octobre 2017, Veracode a constaté [Non plus disponible] que 88 % des applications Java contiennent au moins un composant vulnérable. Début 2016, Oracle a annoncé que même le programme d'installation Java était vulnérable . Si un attaquant plaçait un fichier DLL avec un nom spécifique dans votre dossier Téléchargements, il déclencherait une infection lors de l'exécution du programme d'installation Java. Et en général, en raison de la popularité de Java, il vous suffirait de visiter un site Web compromis qui a profité de votre copie obsolète de Java pour être infecté.

Bien que cela signifie que Java est loin d'être sûr, il y a aussi de bonnes nouvelles. Début 2016, Oracle a annoncé qu'il envisage de déprécier le plugin de navigateur Java (qui est la source de la plupart des problèmes) dans JDK 9, qui est disponible dès maintenant. Les navigateurs modernes ont également laissé Java derrière eux. Chrome a abandonné la prise en charge de Java fin 2015, et Firefox a cessé de le supporter début 2017. Le navigateur Edge de Microsoft, inclus avec Windows 10, ne supporte pas du tout Java .



Cela signifie que si vous avez vraiment besoin d'utiliser Java dans un navigateur, vous devrez vous en tenir à Internet Explorer.

Les plus grandes vulnérabilités

Étant donné que Java perd de sa popularité, qu'est-ce qui a pris sa place en tant que logiciel de bureau le moins sécurisé ?

Les dernières données de Flexera , à partir du premier trimestre 2017, révèle que 7,8% des programmes sur le PC moyen ont atteint la fin de leur vie. Il classe les 10 programmes les plus exposés, en fonction de la part de marché multipliée par le pourcentage d'utilisateurs qui ne sont pas corrigés :

  1. iTunes 12.x
  2. Java 8.x
  3. Lecteur multimédia VLC 2.x
  4. Adobe Reader XI 11.x
  5. Adobe Shockwave Player 12.x
  6. Malwarebytes Anti-Malware 2.x
  7. Kindle pour PC 1.x
  8. Adobe Acrobat Reader DC 15.x
  9. uTorrent 3.x
  10. iCloud pour Windows 6.x

Cette liste peut vous surprendre. Bien que Java ne soit pas le programme le plus risqué, c'est toujours le second. D'autres programmes que nous n'associons généralement pas aux risques de sécurité, comme VLC et Malwarebytes, tiennent également une place. Cela illustre l'importance de maintenir tous vos logiciels à jour, pas seulement les plus populaires.

On peut en voir plus en examinant Rapport de sécurité d'Avast pour le troisième trimestre 2017 . Il répertorie les 10 programmes les plus obsolètes sur les PC de ses utilisateurs :

  1. Java 6, 7 et 8
  2. Adobe AIR
  3. Adobe Shockwave
  4. VLC Media Player
  5. iTunes
  6. Firefox
  7. 7-Zip
  8. WinRAR
  9. Quick Time
  10. Adobe Flash Player

Lorsque vous incluez les anciennes versions, il semble que Java soit toujours en tête des logiciels les moins mis à jour. Les plugins d'Adobe sont également de gros coupables, et nous voyons qu'iTunes et VLC ont également fait cette liste.

Inversement, selon TechRadar , Chrome arrive en tête pour les applications mises à jour. Lors de l'enquête, 88 % des utilisateurs de Chrome avaient installé la dernière version. Cela montre à quel point les mises à jour automatiques silencieuses font une énorme différence, par rapport aux invites de mise à jour persistantes utilisées par les environnements d'exécution Java et Adobe.

N'oubliez pas non plus les mises à jour du système d'exploitation

Un autre élément essentiel de la mise à jour à retenir est la mise à jour du système d'exploitation. N'oubliez pas que les utilisateurs qui ont installé des mises à jour automatiques ont été épargnés par la terrible attaque de ransomware à la mi-2017. Même si vous maintenez à jour des logiciels comme Java, votre ordinateur est toujours en danger si vous n'installez pas les mises à jour Windows.

Windows 10 facilite ces mises à jour automatiques, mais celles de Windows 7 peuvent les avoir désactivées. Et ceux qui utilisent encore Windows XP près de quatre ans après sa fin de vie s'exposent à des risques majeurs.

À quel point Java est-il vraiment dangereux ?

Dans l'ensemble, pouvons-nous encore dire que Java est le plus gros risque de sécurité pour les ordinateurs de bureau ? Pas vraiment. Du côté négatif, les gens continuent d'utiliser des versions obsolètes de Java même s'ils n'en ont vraiment pas besoin. Cela les expose à des failles de sécurité. Cependant, comme la plupart des navigateurs ne prennent plus en charge Java, ils ne sont plus ouverts aux attaques comme ils l'étaient autrefois.

Le maillon faible de la sécurité de votre ordinateur provient du logiciel le plus populaire que vous ne maintenez pas à jour . Si vous disposez de la dernière version de Java mais que vous ne l'avez toujours pas désinstallé QuickTime pour Windows non pris en charge , c'est un gros risque. Avoir une version obsolète de Flash, Adobe Reader ou iTunes pourrait également vous exposer à des attaques.

Nous pouvons déduire des données ci-dessus que les programmes sans mises à jour automatiques sont généralement les moins sécurisés. Par exemple, iTunes demande constamment aux utilisateurs de mettre à jour, ce qui est ennuyeux. Cela conduit les gens à ignorer les mises à jour et à laisser une version non sécurisée installée.

Et Mac et Linux ?

Nous nous sommes concentrés sur Java pour Windows ci-dessus, mais il convient de mentionner rapidement comment cela affecte également les utilisateurs Mac et Linux.

Étonnamment, alors qu'Apple ne laisse pas les plugins s'exécuter par défaut dans Safari, le navigateur prend toujours en charge les anciens plugins comme Java et Silverlight. Bien que vous deviez désinstaller Java sur votre Mac à moins que vous n'en ayez besoin pour une raison spécifique, Java n'a pas causé autant de problèmes aux utilisateurs de Mac que sur Windows. Dernièrement, la plupart des failles de sécurité dans macOS sont dues à des oublis d'Apple lui-même.

Linux n'a pas non plus vu de vulnérabilités Java uniques. Si vous avez besoin d'un navigateur prenant en charge Java sur Linux, vous pouvez essayer le Version ESR (Extended Support Release) de Firefox . Firefox fournit cette version pour les environnements professionnels ; il fournit les dernières mises à jour de sécurité mais attend plus longtemps pour déployer les mises à jour des fonctionnalités. La version actuelle, 52, prend en charge Java et d'autres plugins hérités seront disponibles jusqu'au deuxième trimestre 2018.

Un avenir sans plug-in

La bonne nouvelle est que vous n'avez plus besoin d'installer la plupart de ces plugins potentiellement dangereux et ennuyeux. Très peu de sites Web utilisent Java et le principal programme pour lequel Java a été installé --- Minecraft --- inclut maintenant une version sécurisée de Java . Les autres plugins ne sont pas non plus nécessaires. Microsoft a déconseillé Silverlight il y a des années et vous auriez du mal à trouver un site avec du contenu Shockwave.

Flash est la seule exception. La plupart des navigateurs le prennent toujours en charge en raison de sa popularité, mais Adobe le tuera en 2020 . En attendant, assurez-vous de mettre à jour Flash sur votre PC. Chrome le fait automatiquement, il se peut donc que vous ne l'ayez même plus installé (ce qui est génial).

Donc en bref : Java n'est toujours pas sécurisé mais présente moins de risques grâce aux navigateurs qui le désactivent. Vous devez désinstaller les programmes dont vous n'avez pas besoin (y compris les anciens plugins), garder le logiciel sur votre ordinateur à jour et appliquer les mises à jour du système d'exploitation. Si vous faites cela, vous serez aisé.

Crédit d'image: avemario/ Depositphotos

Partager Partager Tweeter E-mail Comment changer l'apparence de votre bureau Windows 10

Vous voulez savoir comment améliorer l'apparence de Windows 10 ? Utilisez ces personnalisations simples pour vous approprier Windows 10.

Lire la suite Rubriques connexes
  • Sécurité
  • Java
  • Sécurité informatique
A propos de l'auteur Ben Stegner(1735 articles publiés)

Ben est rédacteur en chef adjoint et responsable de l'intégration chez MakeUseOf. Il a quitté son travail informatique pour écrire à temps plein en 2016 et n'a jamais regardé en arrière. Il couvre des tutoriels techniques, des recommandations de jeux vidéo et plus encore en tant qu'écrivain professionnel depuis plus de sept ans.

Plus de Ben Stegner

Abonnez-vous à notre newsletter

Rejoignez notre newsletter pour des conseils techniques, des critiques, des ebooks gratuits et des offres exclusives !

Cliquez ici pour vous abonner