Chercheurs: les problèmes de sécurité de Java ne seront probablement pas résolus bientôt

Depuis le début de l'année, les pirates exploitent les vulnérabilités en Java mener une série d'attaques contre des entreprises telles que Microsoft, Apple, Facebook et Twitter, ainsi que des utilisateurs à domicile. Oracle a fait un effort pour répondre plus rapidement aux menaces et pour renforcer son logiciel Java, mais les experts en sécurité disent que les attaques ne devraient pas lâcher d'ici peu.

Pas plus tard que cette semaine, des chercheurs en sécurité ont déclaré les pirates La campagne cyberespionnage a utilisé des exploits Web pour Java et Internet Explorer 8, ainsi qu'un exploit Adobe Reader, pour compromettre leurs cibles. Le mois dernier, le malware MiniDuke a infecté 59 ordinateurs appartenant à des organismes gouvernementaux, des instituts de recherche, des groupes de réflexion et des entreprises privées de 23 pays.

L'exploit Java utilisé par MiniDuke ciblait une faille qui n'avait pas été corrigée par Oracle. les attaques, Kaspersky Lab a déclaré dans un blog. Les vulnérabilités rendues publiques ou exploitées avant la publication d'un correctif sont connues sous le nom de vulnérabilités zero-day, dont plusieurs ont été utilisées dans les attaques contre Java cette année.

[Plus d'informations: Comment supprimer les logiciels malveillants de votre PC Windows]

En février, les ingénieurs logiciels de Microsoft, Apple, Facebook et Twitter ont vu leurs ordinateurs portables de travail infectés par des logiciels malveillants après avoir visité un site Web communautaire pour les développeurs iOS qui avaient été piratés avec un exploit Java zéro jour. Les violations ont été le résultat d'un plus grand "trou d'eau" lancé à partir de plusieurs sites Web qui ont également affecté les organismes gouvernementaux et les entreprises dans d'autres industries, rapporte The Security Ledger.

Oracle a réagi aux attaques en publiant deux mises à jour début de l'année et accélérer la sortie d'un patch programmé. Il a également élevé le paramètre par défaut des contrôles de sécurité des applets Java à un niveau élevé, empêchant les applications Web basées sur le Web d'exécuter des navigateurs internes sans confirmation de l'utilisateur.

Les experts en sécurité disent que c'est un bon début le taux d'adoption des mises à jour et l'amélioration de la gestion des contrôles de sécurité Java dans les environnements d'entreprise. Plus important encore, disent-ils, Oracle devrait revoir en profondeur son code Java pour identifier et résoudre les problèmes de sécurité de base. Ils croient que Java serait plus sûr aujourd'hui si Oracle avait écouté les avertissements de l'industrie de la sécurité au cours des années.

"Il est difficile de dire ce qui se passe en interne chez Oracle depuis des années, mais sur la base d'une impression externe ils auraient pu réagir plus tôt ", a déclaré Carsten Eiram, directeur de la recherche à la société de conseil Risk Based Security, par e-mail. "Je ne suis pas sûr qu'Oracle ait vraiment pris au sérieux les prévisions selon lesquelles Java serait la prochaine cible majeure."

Il est peu probable qu'Oracle ait pu empêcher les attaques récentes, dit-il, mais il serait mieux placé s'il avait agi plus tôt

"Je pense que l'état actuel de la sécurité Java est dû au fait que Sun a poussé très fortement Java quand ils le possédaient encore", a déclaré Costin Raiu, directeur de la recherche mondiale. et l'équipe d'analyse de Kaspersky Lab, par e-mail. "Après l'acquisition de Java par Oracle, ce projet a peut-être suscité peu d'intérêt."

Oracle a acquis Java en achetant Sun Microsystems en 2010. Le logiciel est installé sur 1,1 milliard d'ordinateurs de bureau dans le monde, selon les informations de Java.com. Son déploiement étendu et sa nature multiplateforme en font une cible attrayante pour les pirates informatiques. Des chercheurs de Security Explorations, une société polonaise de recherche sur les vulnérabilités, ont découvert et signalé 55 vulnérabilités dans les runtimes Java maintenues par Oracle, IBM et Apple au cours de l'année écoulée, dont 36 dans la version Oracle.

"En avril 2012, nous avons signalé à Oracle 30 problèmes de sécurité affectant Java SE 7", a déclaré Adam Gowdiak, fondateur de Security Explorations, par e-mail. "C'était à peu près au même moment que le cheval de Troie Flashback Mac OS a été trouvé dans la nature. Les deux auraient dû servir de réveil pour Oracle. "

Kaspersky Lab a rapporté qu'à un moment donné l'année dernière, un utilisateur sur trois utilisait une version de Java qui était vulnérable à l'un des cinq principaux exploits utilisés par des hackers. Aux heures de pointe, plus de 60% des utilisateurs avaient une version Java vulnérable installée.

Fournir un mécanisme de mise à jour automatique et silencieux comme celui de Chrome, Flash Player, Adobe Reader et d'autres logiciels pourrait être utile aux consommateurs, explique Eiram. Cependant, les entreprises vont probablement désactiver ces fonctionnalités, dit-il

à partir de Java 7 Update 10, publié en décembre, Oracle a fourni de nouvelles options dans le panneau de configuration Java permettant aux utilisateurs de désactiver le plugin Java des navigateurs demander la confirmation avant l'exécution des applets Java. Depuis Java 7 Update 11, le paramètre par défaut de ce mécanisme a été défini sur high, ce qui empêche les applets Java non signés de s'exécuter automatiquement sans confirmation de l'utilisateur. montrent qu'Oracle évolue dans la bonne direction ", a déclaré Wolfgang Kandek, CTO de Qualys, qui commercialise des produits de gestion de la vulnérabilité et de conformité aux politiques. Rendre Java encore plus configurable aiderait les administrateurs informatiques à le déployer d'une manière qui réponde aux besoins de leurs organisations.

"J'apprécierais les fonctionnalités de listes blanches en Java, c'est-à-dire interdisant à tous les sites approuvés d'utiliser le mécanisme d'applet, "Kandek a dit. "Parallèlement, la gestion centralisée des fonctionnalités de configuration Java, notamment via Windows GPO [Group Policy], devrait être améliorée."

Kandek estime qu'Oracle doit relever un plus grand défi en renforçant Java contre les attaques que les autres éditeurs de logiciels. leurs propres produits. "Java est un langage de programmation complet et doit pouvoir exécuter toute la gamme d'actions … y compris les tâches de bas niveau."

Cela dit, Eiram et Gowdiak ont ​​tous deux déclaré qu'Oracle doit améliorer la qualité de son code Java Du point de vue de la sécurité, il est relativement facile de trouver des vulnérabilités.

"Les fournisseurs de logiciels ont la responsabilité de fournir un code sécurisé d'une certaine qualité et les fournisseurs de logiciels largement répandus comme Flash Player ou Java n'ont aucune excuse" Eiram a dit. "Adobe a réalisé ceci et a fait un effort sérieux et réussi pour améliorer leur code. Microsoft a fait la même chose il y a plusieurs années. Il est temps qu'Oracle suive ces traces. "

Selon certaines indications, les développeurs d'Oracle ne sont pas conscients des pièges de sécurité de Java et les examens de sécurité du code ne sont pas du tout effectués ou pas assez complets, a indiqué M. Gowdiak. "De nombreux problèmes identifiés par Security Explorations enfreignent les directives de codage sécurisé d'Oracle pour Java, dit-il.

" Nous avons trouvé de nombreuses failles qui auraient dû être éliminées par l'entreprise lors d'un examen de sécurité complet de la plate-forme. », a déclaré Gowdiak.

Oracle devrait mettre en œuvre un solide cycle de développement sécurisé pour Java afin d'éliminer les vulnérabilités de base et d'augmenter la maturité du code, a déclaré Eiram. Un SDL est un processus de développement de logiciels qui met l'accent sur les examens de sécurité du code et les pratiques de développement sécurisées pour réduire les vulnérabilités.

La meilleure approche serait de s'assurer que les développeurs sont correctement formés. avec l'aide d'auditeurs externes, a déclaré Eiram. "Oracle pourrait également contracter certains des chercheurs qualifiés qui examinent leur code de toute façon."

Oracle a annoncé qu'il accélèrerait le cycle de correction de Java de 4 mois à 2 mois et promettait de mieux communiquer sur les problèmes de sécurité Java avec tous les publics, y compris les consommateurs, les professionnels de l'informatique, la presse et les chercheurs en sécurité. Les longs intervalles entre les mises à jour de sécurité Java et le manque de communication d'Oracle sur la sécurité ont longtemps été critiqués.

"Il sera intéressant de voir s'ils vont honorer leur promesse de mieux communiquer avec le public et la presse. Dans le passé, ils ont été - à mon avis - carrément arrogants et ont refusé de commenter les vulnérabilités signalées, et même leur validité ", a déclaré Eiram.

La politique de ne pas commenter les problèmes de sécurité utilisateurs, les utilisateurs ne savaient pas si les menaces rapportées à l'externe étaient réelles ou ce qu'Oracle faisait à leur sujet, a-t-il déclaré. «Cette approche de la sécurité et de la réactivité appartient au millénaire précédent.»

Les experts en sécurité ne s'attendent pas à ce qu'Oracle résolve tous les problèmes dans un proche avenir de manière à dissuader les attaquants déterminés.

«Je ne prévois pas Les problèmes de sécurité de Java se terminent bientôt », a déclaré Eiram. "Microsoft et Adobe ont mis un certain temps à faire demi-tour et leurs produits sont toujours sujets à des [exploits] de zéro-jour de temps en temps. Java a beaucoup à offrir aux attaquants, alors je m'attends à ce qu'ils restent concentrés dessus pour le moment. "

" Je ne m'attendrais pas à des solutions dans un avenir proche ", a déclaré Kandek. "Les administrateurs informatiques doivent investir leur temps pour comprendre où ils ont besoin de Java sur le bureau et où ils peuvent le restreindre."

Les experts en sécurité s'accordent à dire que Java doit être désactivé là où il n'est pas nécessaire. Beaucoup d'utilisateurs ne savent même pas qu'ils ont Java installé sur leurs ordinateurs. C'est pourquoi Google et Mozilla ont choisi de restreindre le plugin Java dans Chrome et Firefox.

Apple a également mis sur liste noire les versions vulnérables du plugin Java sur Mac OS X, et Windows a un paramètre de registre qui peut limiter l'utilisation de Java. Internet Explorer pour les sites Web de confiance

Alors que de nombreux utilisateurs à domicile n'ont pas besoin de Java dans leur navigateur, les gens dans certaines parties du monde pourraient le faire. Au Danemark, par exemple, les sites Web bancaires et gouvernementaux en ligne utilisent un mécanisme de connexion appelé NemID qui nécessite le support de Java, a indiqué Eiram. Des cas similaires peuvent exister dans d'autres pays.

Dans ces cas, l'utilisation de la fonction click-to-play dans Chrome et Firefox ou du mécanisme Zones dans IE pourrait permettre de charger du contenu Java à partir de certains sites Web uniquement. Une solution moins technique consisterait à utiliser un navigateur avec Java désactivé pour les tâches générales et un navigateur différent avec Java activé pour les sites Web de confiance nécessitant un support Java.

Restreindre l'utilisation de Java dans les environnements d'entreprise est plus difficile. De nombreuses entreprises utilisent des applications Web internes et externes nécessitant l'exécution du plug-in du navigateur Java. Des fonctionnalités comme le click-to-play ne conviennent pas aux environnements d'entreprise où les politiques doivent être gérées et appliquées de manière centralisée.

"Rendre Java plus configurable aidera les administrateurs informatiques à déployer Java de la bonne manière selon les besoins de l'organisation". "Des niveaux de sécurité par défaut plus élevés et la déconnexion facile du navigateur sont un bon début, mais je crois que nous devrons améliorer les fonctionnalités de listes blanches des navigateurs ou des plugins Java."

Pour le moment, le mécanisme Zone dans IE

La récente vague d'attaques Java, y compris celle qui a entraîné des violations de sécurité chez Microsoft, Facebook, Apple et Twitter, aurait pu nuire aux capacités de gestion de Java dans les environnements d'entreprise. réputation, a déclaré Eiram. Mais si les entreprises avaient confiance en Java comme étant sûr et sécurisé, "ils n'ont pas tenu compte des avertissements abondants fournis par les chercheurs pendant un certain temps."

Ce n'est pas seulement la réputation de Java qui a pu être endommagée. Il est probable que certaines entreprises se demandent si la faible sécurité de Java se reflète dans d'autres produits Oracle, a déclaré Gowdiak.

Eiram espère que les récentes attaques pousseront les entreprises à réévaluer si elles ont besoin de Java dans leur environnement. migrent vers des applications purement basées sur HTML5 et s'éloignent des plug-ins tels que Flash, Silverlight et Java ", a déclaré M. Kandek. "Java continuera à se développer du côté du serveur, où ses puissantes capacités de traitement sont absolument nécessaires."