Failles de sécurité : Java inquiète

Depuis quelques temps l’environnement Java est devenu la cible privilégié des hackers, et fait l’objet d’une inquiétude grandissante. Les attaques se multiplient sans que les correctifs apportés par son éditeur Oracle n’y change rien. A tel point que, sur Twitter, le hashtag “#javaflaw” s’est imposé parmi les “hot topics” de la communauté de la sécurité informatique…

Qu’est-ce que Java ?

Développé à partir de 1990, le langage Java était à l’origine destiné aux appareils ménagers afin de pouvoir les contrôler, les rendre interactifs et les faire communiquer entre eux. Présenté en 1995, Java devint très rapidement un langage de référence dans le monde informatique. Utilisable sur l’ensemble des systèmes d’exploitation, java permet d’une part de créer des logiciels et d’autre part d’intégrer des contenus multimédias sur des pages internet (applet). Afin de faire fonctionner ces applets java l’ordinateur doit être équipé du logiciel éponyme. A ce jour, Java est utilisé par plus de 9 millions de développeurs, 850 millions d’ordinateurs et occupe la première place dans le classement Tiobe des langages les plus utilisés.

Lors de sa création, l’ambition  des développeurs était que ce langage réponde à  5 objectifs prioritaires :

  • Simple, orienté objet et familier
  • Robuste et sûr
  • Indépendant de la machine employée pour l’exécution
  • Très performant
  • Interprété, multi taches et dynamique.

Or aujourd’hui c’est sa sûreté qui est gravement remise en cause par de nombreuses attaques informatiques exploitant les failles du langage.

 La vulnérabilité de Java mise en cause.

A l’instar de Steve Jobs qui déclarait en 2007 “Ça ne sert à rien de développer pour Java. C’est un boulet“, de nombreuses critiques s’abattent aujourd’hui sur le langage et son environnement.

                Microsoft, qui a décidé dès 2004 de ne plus inclure Java dans les futures versions de Windows pour des raisons de sécurité, avait recensé près de 6 millions d’attaques exploitant les failles du code au seul troisième trimestre 2010. Cette vulnérabilité avait valu alors à l’époque une virulente mise en garde de la part de Microsoft : « Maintenant que vos yeux sont ouverts, il est temps pour vous de commencer à réexaminer une technologie omniprésente que les attaquants ont prouvé qu’ils peuvent exploiter ». Plus récemment, un rapport de la société de sécurité informatique Kapersky a estimé que les failles de sécurité de  Java seraient à l’origine de près de 50% des intrusions informatiques constatées en 2012 alors qu’elles n’en représentaient que 25% en 2011.

Depuis le début de l’année 2013 de nombreuses failles furent découvertes. Ainsi, le 10 janvier dernier l’Agence nationale de la sécurité des systèmes d’information publiait un bulletin pointant une vulnérabilité permettant « une exécution de code arbitraire à distance au moyen d’une page Web spécialement conçue ». L’ANSSI et le département américain de la sécurité intérieur conseillaient alors de désactiver Java jusqu’à ce qu’un correctif soit diffusé tant « cette vulnérabilité est activement exploitée et largement diffusée ».

Pour pénétrer les ordinateurs cibles les pirates vont corrompre un site internet qui va installer un cheval de Troie sur l’ordinateur de la victime lors de l’exécution du plugin java. Le pirate peut alors prendre le contrôle de l’ordinateur et avoir accès à l’ensemble de ses fichiers et informations sensibles.

Malgré le correctif apporté par Oracle, de nouvelles vulnérabilités ont été découvertes. Ainsi, le 18 janvier deux nouvelles failles furent signalées, avant qu’Oracle ne prenne les devants en diffusant une mise à jour corrigeant une cinquantaine de failles. Dernière mise à jour en date,  le 14 mars dernier afin de corriger une faille exploitée par le cheval de Troie McRat qui, une fois installé, pouvait accéder à l’ensemble des données présentes sur le terminal et télécharger des logiciels malveillants à l’insu de l’utilisateur.

Ces nombreuses failles critiques sont à l’origine du piratage de nombreuses grandes entreprises au rang desquels notamment Twitter, Facebook, Microsoft et  Apple. Outre ces récentes attaques, il a également été démontré que les auteurs de l’opération Octobre Rouge ont utilisé une faille Java. Cette opération de grande envergure lancée depuis 2007 a touché plus de 39 pays et a touché l’ensemble des secteurs stratégiques. Alors que Kapersky avait établi au premier abord  que les assaillants avaient utilisé des failles contenus dans les logiciels de Microsoft Word et Excel, la société Seculert a indiqué qu’une faille Java était également en cause.

Ces remises en cause récurrentes de la sécurité du langage posent de nombreux problèmes tant cette technologie s’est imposée dans le monde numérique d’aujourd’hui. Il en est ainsi du vote électronique qui se développe de plus en plus que ce soit pour des scrutins nationaux ou des scrutins professionnels. Afin de garantir la sécurité et l’anonymat du vote, la plupart des prestataires chiffrent le bulletin de vote en utilisant notamment des applets Java ce qui n’est pas sans risque comme le souligne Roméo Gallabert qui qualifie Java de « maillon faible de la chaine de traitement du vote ». L’ingénieur recense pas moins de cinq techniques permettant de compromettre le bulletin de vote et en conséquence la sincérité du scrutin. Dans sa décision du 13 février dernier le Conseil constitutionnel a d’ailleurs reconnu « qu’un électeur de la 4ème circonscription est parvenu à exprimer par voie électronique au second tour du scrutin un vote en faveur d’un candidat ne figurant pas sur la liste des candidats ». Outre ces fraudes, de nombreux électeurs n’ont pût exprimer leur suffrage en raison d’incompatibilité matériel dû aux nombreuses versions de Java existante.

Dans son guide d’hygiène informatique l’ANSSI reconnaît que « le blocage de certains contenus, même s’il est primordial du point de vue de la sécurité est souvent perçu comme difficile voire impossible car l’accès à l’information nécessite l’utilisation de ces technologies. » Originellement destinée aux contenus Flash et Javascript, il est possible d’extrapoler cette réflexion à l’utilisation de Java. Il est néanmoins probable qu’en l’absence de solution de sécurité apportée à l’environnement Java, les développeurs s’en détournent pour d’autres langages et que son blocage ne devienne plus dès lors problématique.

— Ecrit par IDPI

Réagissez