Une faille très sérieuse dans Java 1.7 est apparue le 26 août, à la faveur d’une annonce de FireEye, une société de sécurité. Outre la dangerosité elle-même de la faille, aggravée par les détails de son exposition, on apprend aujourd'hui que Oracle était informé de cette faille depuis avril 2012.
Ce n’est pas la première fois qu’apparaît une faille Java 0-day, c’est-à-dire exploitée avant même que le public ne soit au courant et protégé. La faille est critique, car elle peut être exploitée à distance, depuis un serveur infecté et des applets Java spécialement conçus. Une faille d’autant plus dangereuse qu’elle peut être exploitée sur tous les systèmes. Cependant, la brèche désormais connue sous l’appellation CVE-2012-4681 a davantage marqué les esprits par un concours malheureux d’évènements qui pose aujourd’hui la question de la responsabilité.
Tout commence avec la révélation de FireEye le 26 août. La société révèle une série de détails à propos d’une trouvaille intervenue dans le cadre d’une attaque spécialisée sur l’un de ses clients (une version que contredit Eric Romangne de Zataz). La présentation de FireEye est le départ d’une course entre les chercheurs qui vont s’empresser de trouver ladite faille grâce aux informations fournies. L’objectif : publier des rapports plus complets et des codes de démonstration (PoC, Proof of Concept).
Les kits d'exploitation ont été rapidement mis à jour
Ici, la situation dérape, car la frontière est mince entre l'information et son exploitation. Rapidement, des kits d’exploitation de failles vont intégrer ces données pour se mettre à la page. C’est le cas notamment du Blackhole Exploit Kit qui bénéficie d’une annonce de son auteur à ce sujet. L’éditeur antivirus Sophos publie d’ailleurs un billet sur son blog pour le confirmer, dans lequel non seulement il recommande de désactiver Java mais accuse également Oracle (qui possède Java) d’être au courant depuis le mois d’avril.
Comme l’indique Eric Freyssinet, chef de la division de lutte contre la cybercriminalité de la gendarmerie nationale, d’autres kits d’exploitation suivent très rapidement. C’est le cas notamment de Sakura, suivi de près par Sweet orange. Dans la foulée, l’éditeur Rapid7 annonce que sa plateforme de tests d’intrusion Metasploit intègre également la nouvelle faille. Tout va très vite, au point qu’Eugène Kaspersky, fondateur de l’éditeur du même nom, se fâche sur Twitter et parle d’irresponsabilité dans les annonces :
The recent Java 0day activity raises questions abt irresponsibility of vulnerabilities reporting securelist.com/en/blog/208193…
— Eugene Kaspersky (@e_kaspersky) Août 28, 2012Une exploitation active et le silence d'Oracle
Mais le vrai problème vient sans doute d’Oracle. Comme le précise Eric Freyssinet, il n’est pas rare qu’une faille ne soit pas corrigée tout de suite. Les grands éditeurs comme Oracle, Microsoft, Apple et ainsi de suite préfèrent effectuer des roulements pour diffuser plusieurs correctifs d’un coup. Dans le cas d’Oracle cependant, la faille est connue depuis avril (l'avertissement du 2 avril 2012 de Security Explorations) et n’est toujours pas référencée sur le site. La prochaine publication de correctifs est prévue pour octobre, ce qui laisse au bas mot plus d’un mois aux auteurs de malwares pour exploiter la situation.
Et cette exploitation est déjà active. L’article de Kasperksy donnait déjà il y a deux jours une carte des sites contaminés :
Même si l’éditeur indique que seul Windows est véritablement visé pour l’instant, l’exploitation sur d’autres plateformes ne saurait tarder.
Désactiver Java
De fait, la désactivation de Java est désormais recommandée par plusieurs sources, dont la plus récente est Mozilla. Le père de Firefox indique en outre travailler sur une fonctionnalité qui sera active dans Firefox 18 au plus tard et permettant de n’activer Java qu’à la demande, le navigateur affichant une demande d’autorisation pour exécuter un code (click-to-play).
Nous vous fournissons donc la méthode pour désactiver Java sur les principaux navigateurs.
- Internet Explorer
Se rendez dans les Options Internet, puis dans l’onglet Programmes. Cliquer sur « Gérer les modules complémentaires » et chercher Java dans la liste :
- Firefox
Se rendez dans le menu Outils, puis cliquer sur Modules Complémentaires :
- Chrome
Cliquer sur la clé à molette en haut à droite du navigateur, puis sur Paramètres. Cliquez sur le bouton Paramètres de contenu dans la zone « Confidentialité », puis sur le lien « Désactiver les plug-ins individuels » dans la partie « Plug-ins » :
- Safari
Se rendre dans les paramètres du navigateur, puis dans l’onglet Sécurité :
