Le bénéfice risque de Java pour les entreprises est devenu négatif
Suite à la vague de cyberattaques de début d'année liées aux failles du langage Java, Oracle a publié début avril pas moins de 42 patchs correctifs sensés améliorer la qualité de son produit phare. Mais n'est ce pas déjà trop tard ? Les efforts de la multinationale semblent vain en considération des dégâts effectués : chaque nouveau correctif mettant en avant l'ampleur des failles de scripts du langage créé par Sun en 1995. Une étude lancée par Veracode montrent que les entreprises sont déjà en train d'abandonner massivement Java lassées pas les problèmes de sécurité de la solution qui ne semblent plus finir.
Des failles dans le code du JRE (Java Runtime Environnement)
En publiant 128 patchs correctifs sur l'ensemble de ses produits, Oracle espérait sûrement calmer la vague de mécontentement liée à la sécurité de ses produits dont les attaques utilisant les failles de Java ont été particulièrement virulentes depuis le début d'année. Il n'en sera rien : les 42 patchs liés au JRE ont surtout mis en exergue la vulnérabilité du produit, une majorité des failles de sécurité détectées étant considérées comme critiques, à corriger d'urgence donc. Le raisonnement est trivial : si Oracle trouve tous les mois de nouvelles failles critiques à Java, les pirates ne devraient avoir aucun mal à faire de même, ce qui ne rassure en rien les entreprises. Ross Barrett, ingénieur chez l'antivirus Rapid7 le confirme : « Les administrateurs et utilisateurs doivent réaliser que le bon sens en ce qui concerne la sécurité et les précautions autour du plug-in Java ne va pas changer avec ce patch, le suivant ou celui d’après. En tant que plug-in web, Java a de nombreux problèmes non résolus, dont la plupart sont révélés à Oracle par des chercheurs responsables qui font essentiellement le travail d’assurance qualité d’Oracle, de manière régulière et gratuitement ».
Une étude publiée début avril par Veracode, spécialisée dans la sécurité des systèmes informatiques, montrait que 82% des applications comportant Java dans leur script comportaient des erreurs de code. A comparer aux 25% obtenus par les langages concurrents type C/C++. Pas étonnant dans ces conditions que de nombreuses entreprises choisissent désormais de se priver de Java, dont l’intérêt est de toute façon de plus en plus limité. Wade Williamson, analyste chez Palo Alto Networks assure : « Pour beaucoup d’entreprises, les récompenses de Java ont considérablement diminué avec les années, alors que les risques ont augmenté exponentiellement. Alors de nombreuses entreprises vont devoir examiner longuement et attentivement Java pour savoir si le jeu en vaut la chandelle ».
Les entreprises délaissent Java
Pour rappel rien que ces derniers mois, ce ne sont pas moins que Twitter, Facebook ou encore Apple qui ont été victimes de cyberattaques exploitant des failles de Java. Les cybercriminels les utilisent pour pénétrer les ordinateurs d'employés des compagnies afin d'en extraire un maximum de données. Steve Jobs avait d'ailleurs été particulièrement clairvoyant en affirmant dès 2007 : « Ça ne sert à rien de développer pour Java. C’est un boulet ». On imagine qu'il doit se retourner dans sa tombe face à l'attaque ayant impacté son entreprise en début d'année. Si une entreprise hypersécurisée comme Apple réussit à se faire pirater dans ces conditions, les pirates ne devraient pas avoir trop de mal à utiliser ses failles dans un environnement moins sécurisé.
Des failles Java déjà détectées lors du vote sur Internet
En mai dernier, le vote par Internet lors des législatives françaises pour les français résidant à l'étranger avait déjà été entaché par des « bugs » liés à Java. Laurent Gregoire, un ingénieurs nantais, avait ainsi montré qu'il était facile d'utiliser ces failles pour modifier le bulletin de votes des électeurs. Bien qu'il est alerté le conseil constitutionnel de ces failles de sécurité et que les médias s'en étaient fait l’écho le vote avait néanmoins été validé par le conseil de sécurité en février dernier. Pas très sérieux pour ce qui faisait office de test grandeur natur pour le vote électronique : avait-on réellement besoin d'utiliser cette technologie ?
Vous l'aurez compris ces nouveaux patchs de sécurité apportés par Oracle ne devraient pas modifier en profondeur la situation. A savoir, un rapport bénéfice risque en défaveur du JRE : pour les particuliers et d'autant plus pour les entreprises, il est recommandé de désactiver Java tant qu'Oracle n'aura pas sécurisé de façon pérenne sa solution.
15 réactions à cet article
-
J’utilise Internet tous les jours, j’imagine donc que Java doit se cacher quelque part dans mon ordinateur.
Pourriez vous expliquer au novice que je suis l’utilité de Java, comment s’en passer et éventuellement par quoi le remplacer (pour autant que cela soit nécessaire) ?-
Java est une sorte de machine virtuel dans votre ordinateur qui permet d’exécuter un programme fait en java sur votre système. Quel intérêt ? Et bien la micro informatique est une vaste contrée avec plein d’OS différent, windows 7, 8, linux, android etc et plein de matos différent, processeur intel, amd ou snapdragon sur les smatphone... qui font qu’un programme codé en un langage autre que java ne s’exécutera pas sur tel système ou s’exécutera différemment, bref faudra l’adapter pour tous les supports possibles et tout ça coute cher pour la boite qui développe.
Java est sensé remédier à ça et assurer la compatibilité d’un programme avec tout les appareils ayant la machine virtuelle java installée dessus. EN gros avec un seul code source, j’ai un programme qui va partout. -
Java est un language orienté « objet ». D’autre part il est sois-disant indépendant du langage assembleur d’un ordinateur. En fait le programmeur Java utilise des pseudos intructions traduites par l’interpreteur Java. Cet interpreteur est bien sur different pour Mac, Pc, Android, etc...Or les failles de sécurité se trouvent dans l’interpreteur. Bien sur.
Reste à savoir si les failles ne se trouvent pas aussi sur Windows ou OSXmachin...
Les OS on tendance à donner plus de liberté à Java, pour des questions commerciales et de faibles cout de développement. Mais aussi parce que Java demande plus de puissance que l’assembleur ou le C+. Par ici le grisbi dans la course aux processeurs.
Java est un langage objet, ce qui veut dire qu’une « classe » peut etre utilisée par n’importe qui, sans meme savoir ce qu’elle véhicule en fait. Il donc facile d’introduire du code malfaisant...Ce qui est impossible si vous maitrisez 100% de votre code de A à Z. De fait, meme en Java, on peut faire ainsi du code fiable.
Mais maitriser un code ça coute cher, et ceux qui savent programmer correctement sont assez rare. Il faudrait presque ne jamais faire confiance aux classes toutes faites, et programmer sois-meme à partir des fonctions basiques du Java. C’est possible, mais long et couteux. Java c’est le low-cost de l’informatique. C’est pas cher, mais cela en a tous les défauts. -
Tout à fait, Izarn.
Je suis un développeur de la vieille école.Du soft de base (assembler), j’ai participé dans le projet d’en faire l’émulation d’un 360 sur des machines qui demandait encore moins de ressources. Souplesse, efficacité et légèreté du travail au niveau bit et non aux doubles mots (64 bits) comme aujourd’hui.Bien plus tard, j’ai étudié les bases de Java (la version Pure Java) quand je suis sorti du cours, je n’avais que 20 ou 30% de ce qu’il fallait connaître pour pouvoir pratiquer. Une autre culture, tout simplement. -
Java, je m’en amusais dernièrement en disant :
« Dans ses fondations, il s’agit de manipuler des objets parmi différentes classes polymorphes, par l’héritage de ce qui peut l’être, par la conversion de valeurs ou idées irréconciliables (par »casting« ), par le »switch« de solutions »à la carte« , via des interfaces, que l’on pourrait appeler »ombusmen". -
Z’ont qu’à développer en Cobol,
crévindieu !-
Plus une technologie devient « riche » et vite, plus elle est sujette aux failles de sécurité.
Java était au départ un langage destiné à de petites applications embarquées. Il est aujourd’hui devenu une technologie obèse, une sorte de couteau-suisse-robot-ménager-qui-fait-aussi-le-café, avec lequel on ne programme même plus, on assemble des éléments préfabriqués avec un minimum de colle pour que ça coûte moins cher.Ce n’est pas tant un problème de conception du langage (d’autres comme C# sont basés sur les mêmes concepts et subiront le même sort) qu’un problème de croissance non maîtrisée - pire encore depuis qu’Oracle s’en est emparé.Si on veut faire du super-fiable, on peut revenir à des technologies plus rustiques (Cobol sous MVS, quelqu’un ?) mais à un coût tellement prohibitif que seules les grands établissements financiers peuvent se le permettre : des hackers ont pénétré les systèmes du pentagone, ceux de la Banque de France ronronnent en paix.-
Tout à fait, Bernard.
Il y a le Javascript et Pure Java, ce qui est complètement différent.Le 1er est interprété (c’est à dire que l’on découvre en gros, les erreurs à l’usage), le second compilé demandant JRE.C++ est toujours l’outil de développement du soft de base.Java est un langage qui essaye de structurer la programmation jusqu’à l’outrance.Il n’est pas le seul, c’est constant dans les outils de MS.Eviter les spaghetti, d’accord, mais quand tout devient modulaire, la vue d’ensemble se perd. Il faut faire confiance aux niveau inférieures. On ne sait plus qui fait quoi dans le jeu de quilles des modules.De plus, quand ils sont concaténés, il n’est pas rare que les résultats espérés ne sont pas au rendez-vous.L’Assembler, le Cobol, le RPG, le Fortran étaient des langages souples, linéaires.Beaucoup d’entreprises utilisent encore la nième version de Cobol.Les anciens programmeurs sont rappelés de la retraite. -
Il n’existe aucun système fiable à 100%.
Plus une technologie est utilisée plus elle est piratée.Sans même parler de java, ceux qui se croyaient à l’abri avec les OS Apple en savent quelque chose, ils se vantaient même de ne pas avoir besoin d’antivirus, c’était vrai lorsque ce système était destiné à un publique restreint !Java et notamment javascript sont utilisés par des milliards de périphérique et application.Le piratage en soit est évidement une mauvaise chose, mais nécessaire ! c’est un peu le vaccin qui fait travailler le système immunitaire de nos technologie.-
Tout à fait, Sam.
Et Internet est le véhicule le mieux adapté pour faire passer la pilule du virus.Si vous voulez de la sécurité, un seul moyen, coupez Internet ou déterminez les modules exécutables pour les séparer des données. L’extension du fichier donne un indice, mais attention, il peut y avoir de faux amis.
-
Java ça tue ta mémoire, fait lagger ta machine et plante tout le temps.
Ce qui étais fluide en C++ sur un Pentium 1 est lent et plante en java sur un I7.-
Etant proche du sujet au quotidien, je pense qu’il est nécessaire d’apporter quelques précisions, sur ce sujet :
Tout d’abord, Java est un langage, qui est interprété (pour faire simple) sur une machine virtuelle, la JVM (ou JRE), il en existe de multiples vendeurs/éditeurs pour de nombreuses plateformes (Oracle, IBM, Google, ...). Par conséquent parler des « failles [de sécurité] du langage Java » n’a pas beaucoup de sens.
Ce faisant pour qu’une application Java (code semi-compilé) s’éxécute sur un ordinateur (peu importe l’OS) il lui faut une machine virtuelle. Au début des années 2000, avec les débuts d’internet, il a semblé une bonne idée de pouvoir lancer des application Java depuis un navigateur, ce faisant une majorité de machine se sont vues équipées de plateforme d’éxecution Java (le fameux plugin-machine virtuelle). Depuis, cette technologie (le plugin) n’ayant eu que peu de succès pour diverses raison, a été grandement négligée par les éditeurs (surtout Oracle) notamment au niveau de la sécurité, et c’est là l’essentiel du problème. C’est pourquoi il est recommandé de désactiver ce plugin qui ne sert pratiquement plus à rien.
La citation de S.Jobs est un gros troll velu, dans la mesure où une grande partie des applications de son plus gros concurrent est écrite en Java (Android, machine virtuelle Davlik).
Ensuite, il y a beaucoup de choses ambigüe dans cet article :
« 82% des applications comportant Java dans leur script comportaient des erreurs de code » qu’est ce que cela signifie ?
comporter Java dans un script n’a aucun sens, à moins que ça ne soit une mauvaise traduction de « Javascript » une technologie qui n’a rien à voir ?
Les erreurs de codes sont du fait de la personne qui programme l’application pas de l’application elle même, à moins que cela sous-entende une incompétence notoire des programmeurs Java ?Enfin, il faut bien comprendre qu’on ne parle pas ici de Java côté « serveur » (l’article n’en fait pas mention), qui lui est bien implanté en entreprise et ne se fait absolument pas délaisser à l’heure actuelle.
Pour conclure, oui, Oracle est pénible à trainer des pieds pour corriger les problèmes, mais ne jetons pas le bébé avec l’eau du bain sans comprendre de quoi il retourne, le « monde » Java est bien plus vaste qu’un simple plugin de navigateur.
-
Le ministère des affaires étrangères a été si content que les élections législatives des français de l’étranger qu’il remet ça pour l’élection des membres de l’Assemblée des Français de l’Etranger. Le vote par internet est autorisé (du 14 au 20 mai 2014 12h - heure de Paris) !
C’est quand même curieux cette obstination à diffuser un mode vote bien opaque...
-
Je m’interroge comment des Entreprises peuvent-elles faire confiance à un produit GRATUIT !?
-
C’est tout simple...
Il y a quelques années, des publications spécialisées avaient attiré l’attention des DSI sur le fait que travailler avec Microsoft créait un risque de dépendance avec l’éditeur de Redmond.
Petit détail : les principaux annonceurs de ces publications sont IBM et Oracle.
-
-
-
-
-
-
-
-
Ajouter une réaction
Pour réagir, identifiez-vous avec votre login / mot de passe, en haut à droite de cette page
Si vous n'avez pas de login / mot de passe, vous devez vous inscrire ici.
FAIRE UN DON
