Java : une faille critique, un milliard de PC potentiellement vulnérables

Java fait une nouvelle fois parler de lui et de sa sécurité. Une faille critique a été découverte et son impact est potentiellement très important puisqu’elle affecte les versions 5, 6 et 7 de l’environnement. Le découvreur de la faille estime ainsi que plus d’un milliard de personnes pourraient être touchées.

Une faille critique pour Java 5, 6 et 7

Fin août, une faille critique était découverte au sein de Java. En l’espace de quelques jours, le sujet avait fait le tour des médias spécialisés et des exploitations avaient été découvertes. De nombreux experts en sécurité recommandaient alors de désactiver Java le temps que le correctif arrive. Oracle avait réagi promptement en publiant ensuite le fameux correctif.

La nouvelle faille dispose visiblement d’un large potentiel de destruction. D’une part, elle affecte les versions 5, 6 et 7 de la machine virtuelle, même quand elles sont à jour. D’autre part, Java oblige, elle peut toucher les utilisateurs de tout système d’exploitation où Java est installé. Enfin, et surtout, la faille permet de violer une règle de sécurité jugée comme fondamentale dans la sandbox de la machine virtuelle, permettant ainsi de traverser son périmètre de sécurité qui l’isole normalement du système d’exploitation.

Les moutures touchées de Java comprennent en outre les dernières préversions pour les développeurs :

• Java SE 5 Update 22 (build 1.5.0_22-b03)
• Java SE 6 Update 35 (build 1.6.0_35-b10)
• Java SE 7 Update 7  (build 1.7.0_07-b10)

Les tests ont été réalisés avec l’ensemble des navigateurs et toutes les dernières versions (ou presque) ont été impactées, une conséquence logique puisque Java ne dépend pas du butineur. Par ailleurs, ces tests ont été menés sous un Windows 7 32 bits à jour, mais l’exploitation fonctionnerait sur d’autres plateformes, notamment OS X. À noter que pour ce dernier, Snow Leopard était le dernier système à intégrer systématiquement Java. Toutefois, dans les cas de Lion et Mountain Lion, le moindre besoin de l’environnement en proposait le téléchargement. Plus récemment, Oracle a récupéré la pleine maitrise de Java sur OS X, mais la faille est présente puisque la machine virtuelle est la même que celle distribuée (entre autres) sous Windows.

Pas d'exploitation active pour le moment

L’annonce de la découverte a été faite par Adam Gowdiak, PDG de la société polonaise Security Explorations, sur la mailing list Full Disclosure. Interrogé par Computer World, Gowdiak indique que cette faille est plus dangereuse que celle du mois dernier qui ne touchait que Java 7. Il indique par ailleurs avoir découvert la brèche la semaine dernière mais n’avoir averti Oracle que mardi, prenant le temps de créer un proof-of-concept, c’est-à-dire un morceau de code permettant de mettre la faille en évidence.

Selon Adam Gowdiak, Oracle a reconnu l’existence de la faille hier. Mais la question qui se pose maintenant est bien sûr celle de sa correction. Or, Oracle ne compterait pas diffuser de patch avant le prochain cycle de mises à jour, prévu pour le 16 octobre. Bien que ces trois semaines de vide puissent être dommageables, signalons que le contexte est très différent de la faille de fin août : à l’heure actuelle, aucune exploitation active n’aurait été détectée selon Gowdiak. En outre, on peut noter sur Full Disclosure qu’il donne très peu de détails réels sur la faille, rabrouant d’ailleurs un participant qui le lui faisait remarquer.

Mais en attendant, que faire ? Le conseil de Gowdiak est le même que celui du mois dernier : désactiver la machine virtuelle Java le temps qu’un correctif soit déployé par Oracle. En attendant que l’éditeur ne se manifeste (sa liste des alertes de sécurité n’a pas été mise à jour pour l’instant), nous vous signalons à nouveau ci-dessous les méthodes de désactivation dans les navigateurs les plus courants. 

Désactiver Java

• Internet Explorer

Se rendre dans les Options Internet, puis dans l’onglet Programmes. Cliquer sur « Gérer les modules complémentaires » et chercher Java dans la liste :

• Firefox

Se rendre dans le menu Outils, puis cliquer sur Modules Complémentaires :

• Chrome

Cliquer sur la clé à molette en haut à droite du navigateur, puis sur Paramètres. Cliquez sur le bouton Paramètres de contenu dans la zone « Confidentialité », puis sur le lien « Désactiver les plug-ins individuels » dans la partie « Plug-ins » :

• Safari

Se rendre dans les paramètres du navigateur, puis dans l’onglet Sécurité :