Il est temps de réécrire Java à partir de zéro, dit l'expert en sécurité

Si la faille de sécurité la plus récente dans Java est un signe de quelque chose, c'est le moment pour Oracle de réécrire le langage de programmation.

C'est l'avis de Bogdan Botezatu, un analyste senior des menaces électroniques chez Bitdefender, un fabricant de logiciels antivirus basé en Roumanie, qui estime que 100 millions de PC sont vulnérables aux attaques de pirates en raison du dernier défaut Java découvert cette semaine.

Selon Botezatu, Oracle a perdu le contrôle du code de Java, ce qui explique pourquoi de sérieuses failles de sécurité continuent d'apparaître dans le logiciel.

[Plus d'informations: Comment supprimer les logiciels malveillants de votre PC Windows] "Oracle doit prendre quelques composants de base de Java et les écrire à partir de zéro", at-il dit dans une interview.

Le problème avec les produits matures comme Java et ceux d'Adobe est que tant de mains les ont touchées pendant une longue période de temps. "Ces produits sont devenus si grands et ont été développés par tant de programmeurs que les fabricants ont probablement perdu le contrôle de ce qui est dans le produit", a déclaré Botezatu.

Défauts de combat

Les résultats des efforts récents d'Oracle pour corriger les vulnérabilités Java prend en charge l'analyse de l'expert en sécurité roumain.

Par exemple, Oracle a corrigé trois failles de sécurité en août 2012 avec une nouvelle version de Java, version 7 rev. 7. Quelques heures après la publication de ce correctif, le chercheur polonais en matière de sécurité, Adam Gowdiak, fondateur et PDG de Security Explorations, a découvert une vulnérabilité créée par la mise à jour. Certains experts en sécurité disent que Java a survécu à son rôle et que ses fonctions sont gérées par d'autres technologies.

La dernière vulnérabilité zéro-jour trouvée dans le langage de programmation peut également être attribuée à une mise à jour de sécurité d'octobre 2012. Cette mise à jour était incomplète et a ouvert la porte à la vulnérabilité découverte cette semaine, selon Gowdiak.

"C'est le bon moment pour réécrire des composants de base et s'assurer qu'ils sont sans bug, plutôt que de patcher l'application d'une version à l'autre, "Botezatu a dit.

Botezatu reconnaît, cependant, que cela n'est pas susceptible de se produire. "Oracle n'est pas ouvert à apporter des changements majeurs car ils pourraient casser des applications déjà sur le marché", at-il ajouté.

Le problème d'Oracle face au développement Java est celui de tous les éditeurs de logiciels: Comment améliorer un programme sans détruire son compatibilité avec les versions précédentes.

"Regardez Windows Vista et comment il n'a pas été adopté parce que les applications de certains clients ne fonctionnaient pas de XP à Vista", a expliqué Botezatu.

Néanmoins, certains signes indiquent qu'Oracle essaie de aborder certaines des questions soulevées par Botezatu. Vendredi, la société a annoncé que, à compter de la sortie de Java 8 en septembre, les nouvelles versions seront lancées sur une période de deux ans.

En ce qui concerne les problèmes de sécurité actuels, le département américain de la sécurité intérieure recommande de fermer Java dans votre navigateur, ce qui peut être fait en suivant ces instructions d'Oracle.