Pourquoi Java est moins vulnérable aux risques de sécurité sur Windows, Mac et Linux

Publicité

Java, une composante essentielle du Web, a perdu de sa popularité au cours des dernières années. La plupart des navigateurs modernes bloquent Java par défaut, et la majorité des utilisateurs à domicile n'ont plus besoin de l'installer.

Nous savons depuis longtemps que Java est le logiciel le plus insécurisé pour les ordinateurs de bureau, en particulier Windows. Mais est-ce toujours vrai? Fouillons et découvrons.

Les problèmes historiques avec Java

La principale raison pour laquelle Java est devenue une cible si populaire pour les attaques est son ampleur. Parce que Java a été conçu pour une compatibilité maximale, il fonctionne sur une multitude de périphériques. En plus des ordinateurs, Java alimente les lecteurs Blu-ray, les imprimantes, les systèmes de paiement de stationnement, les appareils de loterie et bien plus encore. C'est le contraire de la sécurité à travers l'obscurité: une plate-forme majeure offre la meilleure récompense pour une attaque.

Bien sûr, nous sommes concernés par Java sur le bureau. Et là, la pire offense est que Java ne se met pas automatiquement à jour. Contrairement à la plupart des autres programmes modernes, Java demande simplement à l'utilisateur d'installer des mises à jour lorsqu'elles sont disponibles. Pire encore, par défaut, Java vérifie uniquement les mises à jour une fois par semaine ou même une fois par mois. C'est dangereux pour une application avec autant de failles de sécurité.

De nombreuses personnes voient l'invite de mise à jour et l'ignorent, ce qui entraîne l'exécution d'une version obsolète de Java. Et avec de nouvelles versions proposées régulièrement, même ceux qui installent des mises à jour peuvent être frustrés et en ignorer d'autres. Dans certains cas, même lorsque les utilisateurs installent une nouvelle version, ils conservent également l'ancienne version de Java. Cela élargit leur vulnérabilité à l'attaque.

Bien sûr, nous ne pouvons pas oublier la longue saga de Java qui inclut la terrible barre d'outils Ask. Chaque fois que vous avez installé ou mis à jour Java, vous devez vous souvenir de décocher une case ou cela inclurait ce morceau de courrier indésirable. Bien que pas un exploit, cela a laissé un mauvais goût dans la bouche des utilisateurs.

Java a 22 ans aujourd'hui.

Nous devrions envoyer un gâteau à Oracle avec la barre d'outils Ask.

- Tim Barrett (@timbarrett) 24 janvier 2018

Java moderne

Donc, c'est ce qui n'allait pas avec Java dans le passé, mais qu'en est-il récemment?

En octobre 2017, Veracode a découvert que 88% des applications Java contenaient au moins un composant vulnérable. Au début de 2016, Oracle a annoncé que même l'installateur Java était vulnérable. Si un attaquant plaçait un fichier DLL avec un nom spécifique dans votre dossier Téléchargements, cela provoquerait une infection lorsque vous exécuteriez le programme d'installation Java. Et en général, en raison de la popularité de Java, vous auriez seulement besoin de visiter un site Web compromis qui a profité de votre copie obsolète de Java pour être infecté.

Bien que cela signifie que Java est loin d'être sûr, il y a aussi de bonnes nouvelles. Au début de 2016, Oracle a annoncé qu'il prévoyait de déprécier le plugin de navigateur Java (qui est la source de la plupart des problèmes) dans JDK 9, qui est maintenant disponible. Les navigateurs modernes ont également laissé Java derrière eux. Chrome a abandonné la prise en charge de Java à la fin de l'année 2015 et Firefox a cessé de la prendre en charge au début de 2017. Le navigateur Microsoft Edge, inclus avec Windows 10, ne prend pas en charge Java du tout.

Les mises à jour Java sur Windows 10 sont tellement hilarantes maintenant que Chrome, Firefox et Edge ne l'utilisent plus

- Rob the Tech Guy (@TheTechGuyRob) 1er février 2018

Cela signifie que si vous avez vraiment besoin d'utiliser Java dans un navigateur, vous devrez utiliser Internet Explorer.

Les plus grandes vulnérabilités

Depuis que Java a perdu de sa popularité, qu'est-ce qui a pris sa place en tant que logiciel de bureau le plus précaire?

Les dernières données de Flexera, à partir du premier trimestre 2017, révèlent que 7, 8% des programmes sur le PC moyen ont atteint la fin de leur vie. Il classe les 10 programmes les plus exposés, en fonction de la part de marché multipliée par le pourcentage d'utilisateurs qui ne sont pas corrigés:

1. iTunes 12.x
2. Java 8.x
3. VLC Media Player 2.x
4. Adobe Reader XI 11.x
5. Adobe Shockwave Player 12.x
6. Malwarebytes Anti-Malware 2.x
7. Kindle pour PC 1.x
8. Adobe Acrobat Reader DC 15.x
9. uTorrent 3.x
10. iCloud pour Windows 6.x

Cette liste peut vous surprendre. Bien que Java ne soit pas le programme le plus risqué, c'est toujours le second. D'autres programmes que nous n'associons généralement pas aux risques de sécurité, comme VLC et Malwarebytes, occupent également une place. Cela illustre l'importance de garder tous vos logiciels à jour 4 Applications Windows à maintenir à jour en tout temps 4 Applications Windows à maintenir à jour en tout temps Garder votre logiciel à jour est une façon de rester à l'écart des pirates et des logiciels malveillants . Nous vous montrons comment maintenir Windows, les navigateurs, les outils anti-virus et autres applications à jour. Lire la suite, pas seulement les populaires.

Nous pouvons en voir plus en examinant le rapport de sécurité d'Avast au troisième trimestre 2017. Il répertorie les 10 programmes les plus obsolètes sur les PC de ses utilisateurs:

1. Java 6, 7 et 8
2. Adobe AIR
3. Adobe Shockwave
4. VLC Media Player
5. iTunes
6. Firefox
7. 7-Zip
8. WinRAR
9. Quick Time
10. Adobe Flash Player

Lorsque vous incluez les anciennes versions, il semble que Java arrive toujours en tête du logiciel le moins mis à jour. Les plugins d'Adobe sont aussi de grands coupables, et nous voyons que iTunes et VLC ont également fait cette liste.

Inversement, selon TechRadar, Chrome arrive en tête pour les applications mises à jour. Lors de l'enquête, 88% des utilisateurs de Chrome avaient installé la dernière version. Cela montre à quel point les mises à jour automatiques silencieuses font une énorme différence par rapport aux demandes de mise à jour lancinantes utilisées par les runtimes Java et Adobe.

Ne pas oublier les mises à jour du système d'exploitation trop

Un autre élément essentiel de la mise à jour à retenir est les mises à jour du système d'exploitation. Rappelez-vous que les utilisateurs qui ont eu des mises à jour automatiques ont été épargnés par la terrible attaque ransomware au milieu de l'année 2017. L'attaque globale de Ransomware et comment protéger vos données L'attaque globale de Ransomware et comment protéger vos données Une cyberattaque massive a frappé des ordinateurs autour du globe. Avez-vous été affecté par le rançongiciel auto-répliquant très virulent? Si non, comment pouvez-vous protéger vos données sans payer la rançon? Lire la suite . Même si vous maintenez les logiciels comme Java à jour, votre ordinateur est toujours à risque si vous n'installez pas les mises à jour Windows.

Windows 10 facilite ces mises à jour automatiques Avantages et inconvénients des mises à jour forcées dans Windows 10 Avantages et inconvénients des mises à jour forcées dans Windows 10 Les mises à jour changeront dans Windows 10. À l'heure actuelle, vous pouvez choisir. Windows 10, cependant, forcera les mises à jour sur vous. Il a des avantages, comme la sécurité améliorée, mais il peut aussi aller mal. Quoi de plus ... Lire la suite, mais ceux sur Windows 7 pourraient les avoir désactivés. Et ceux qui utilisent encore Windows XP près de quatre ans après sa fin de vie se mettent en danger 7 façons Windows 10 est plus sûr que Windows XP 7 façons Windows 10 est plus sécurisé que Windows XP Même si vous n'aimez pas Windows 10, vous devriez vraiment avoir migré de Windows XP maintenant. Nous vous montrons comment le système d'exploitation vieux de 13 ans est maintenant criblé de problèmes de sécurité. Lire la suite .

Quel est le danger Java, vraiment?

Pris ensemble, pouvons-nous encore dire que Java est le plus grand risque de sécurité pour les ordinateurs de bureau? Pas vraiment. Du côté négatif, les gens continuent à utiliser des versions obsolètes de Java même s'ils n'en ont pas vraiment besoin. Cela les ouvre à des failles de sécurité. Cependant, comme la plupart des navigateurs ne supportent plus Java, ils ne sont pas ouverts à l'attaque comme ils l'ont déjà été.

Le maillon faible de la sécurité de votre ordinateur provient du logiciel le plus populaire que vous ne tenez pas à jour . Si vous disposez de la dernière version de Java mais que vous n'avez toujours pas désinstallé QuickTime pour Windows, cela représente un gros risque. Avoir une version obsolète de Flash, Adobe Reader ou iTunes pourrait vous ouvrir à l'attaque aussi.

humeur actuelle: refuser une mise à jour logicielle pendant 18 mois et maintenant l'outil à télécharger est obsolète

- [gracieux] mites (@archaevist) 12 février 2018

Nous pouvons glaner des données ci-dessus que les programmes sans mises à jour automatiques sont généralement les moins sécurisés. Par exemple, iTunes demande constamment aux utilisateurs de mettre à jour, ce qui est ennuyeux. Les programmeurs font souvent des décisions stupides qui conduisent à des ennuis pour les utilisateurs. Voici quelques bizarreries de conception courantes qui rendent les gens fous. Lire la suite . Cela conduit les gens à ignorer les mises à jour et à laisser une version non sécurisée installée.

Qu'en est-il de Mac et Linux?

Nous nous sommes concentrés sur Java pour Windows ci-dessus, mais il vaut la peine de mentionner rapidement comment cela affecte aussi les utilisateurs Mac et Linux.

Étonnamment, alors qu'Apple ne laisse pas fonctionner les plugins par défaut dans Safari, le navigateur supporte toujours les anciens plugins comme Java et Silverlight. Bien que vous deviez désinstaller Java sur votre Mac à moins que vous n'en ayez besoin pour une raison spécifique, Java n'a pas causé autant de problèmes pour les utilisateurs de Mac que pour Windows. Dernièrement, la plupart des failles de sécurité de macOS ont été causées par des oublis d'Apple lui-même.

J'ai besoin d'installer NetBeans pour quelque chose. La version Mac est livrée en tant que package d'installation (!), Qui était un drapeau rouge. Mais ensuite, il voulait que j'installe Java ...

Nan. Non, non, non. Nooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooopeo

- nulldragon (@_nulldragon) 8 février 2018

Linux n'a pas non plus vu de vulnérabilités Java uniques. Si vous avez besoin d'un navigateur prenant en charge Java sous Linux, vous pouvez essayer la version ESR (Extended Support Release) de Firefox. Firefox fournit cette version pour les environnements professionnels. il fournit les dernières mises à jour de sécurité, mais attend plus longtemps pour déployer les mises à jour des fonctionnalités. La version actuelle, 52, prend en charge Java et d'autres plugins hérités seront disponibles jusqu'au deuxième trimestre 2018.

Un avenir sans plug-in

Les bonnes nouvelles sont que vous n'avez pas besoin de la plupart de ces plugins potentiellement dangereux et ennuyeux Think Flash est le seul plugin Insecure? Réfléchissez encore Flash est le seul plugin non sécurisé? Think Again Flash n'est pas le seul plugin de navigateur qui présente un risque pour votre vie privée et votre sécurité en ligne. Voici trois autres plugins que vous avez probablement installés dans votre navigateur, mais qui devraient être désinstallés aujourd'hui. Lire la suite installé plus. Très peu de sites Web utilisent Java, et le programme principal pour lequel les gens ont installé Java - Minecraft - inclut maintenant une version intégrée sécurisée de Java Comment installer la version complète de Minecraft sur un PC Linux Comment installer la version complète de Minecraft sur Linux PC Minecraft est l'un des plus grands jeux au monde et fonctionne sur pratiquement toutes les plateformes. Vous voulez le faire fonctionner sur votre ordinateur Linux? Nous allons vous montrer comment. Lire la suite . D'autres plugins ne sont pas nécessaires non plus. Microsoft a déconseillé Silverlight il y a des années, et vous auriez du mal à trouver un site avec du contenu Shockwave.

Flash est la seule exception Die Flash Die: L'histoire actuelle des entreprises de technologie essayant de tuer Flash Die Die Flash: L'histoire continue des entreprises de technologie essayant de tuer Flash Flash est en déclin depuis longtemps, mais quand va-t-il mourir? Lire la suite . La plupart des navigateurs le supportent encore en raison de sa popularité, mais Adobe le supprimera en 2020. D'ici là, veillez à mettre à jour Flash sur votre PC. Chrome le fait automatiquement, donc vous ne l'avez même plus installé (ce qui est génial).

Bref, Java n'est pas sûr, mais il pose moins de risques grâce aux navigateurs qui le désactivent. Vous devez désinstaller les programmes dont vous n'avez pas besoin (y compris les anciens plugins), maintenir le logiciel sur votre ordinateur mis à jour Comment faire en sorte que tous vos programmes restent à jour Comment faire en sorte que tous vos programmes restent à jour le logiciel mis à jour peut être une corvée, alors pourquoi ne pas laisser FileHippo trouver des mises à jour de tous vos programmes obsolètes pour vous? En savoir plus et appliquer les mises à jour du système d'exploitation. Si vous faites cela, vous serez aisé.

Avez-vous encore Java et d'autres plugins hérités installés? Si oui, de quoi avez-vous besoin? Donnez votre avis sur Java ci-dessous!

Crédit d'image: avemario / Depositphotos