Haro sur Java ! Tel semble être le nouveau leitmotiv des éditeurs antivirus et des responsables de sécurité informatique. Depuis le début de l’année les attaques utilisant des failles de l’environnement Java se multiplient et ne cessent de faire la une de la presse spécialisée. Etat des lieux de la situation.
Apparu dans les années 90, Java est rapidement devenu le langage informatique de référence de par sa simplicité, son universalité et, pensait-on, sa sécurité. A tel point, qu’il est aujourd’hui présent sur plus d’un milliard de bureaux, 3 milliards de téléphones mobiles et occupe la première place dans le classement Tiobe des langages les plus utilisés. Au regard de ces chiffres, la sécurité revêt donc une importance capitale or c’est ce qui pose problème aujourd’hui.
Dès 2007, Steve Jobs pointait les failles de Java en déclarant que « ça ne sert à rien de développer pour Java. C’est un boulet« . Cette sentence fut confirmée par un rapport de la société Kapersky qui estimait que les failles de sécurité de Java représentaient 50% des intrusions informatiques constatées en 2012 contre « seulement » 25% en 2011. Et cela ne semble pas s’arranger. La première faille de la série est apparue début janvier, le 10 le département de la sécurité intérieure américain et l’ANSSI recommandaient de désactiver Java jusqu’à ce qu’un correctif soit diffusé tant « cette vulnérabilité est activement exploitée et largement diffusée ». Corrigée par Oracle, l’éditeur de Java, deux nouvelles failles furent signalées le 18 janvier avant qu’Oracle ne prenne les devants en diffusant une mise à jour corrigeant une cinquantaine de failles. Enfin, une dernière mise à jour a été mise en ligne le 14 mars.
Ces nombreuses vulnérabilités ne sont pas restées sans conséquences, outre un nombre certain (mais encore indénombrable) de particuliers touchés, de nombreuses grandes entreprises furent attaquées à l’instar de Twitter, Facebook, Microsoft et Apple.
Pour pénétrer les ordinateurs cibles les pirates vont corrompre un site internet qui va installer un cheval de Troie sur l’ordinateur de la victime lors de l’exécution du plugin java. Le pirate peut alors prendre le contrôle de l’ordinateur et avoir accès à l’ensemble de ses fichiers et informations sensibles.
Ces vulnérabilités montrent à quel point notre dépendance à la technologie peut se révéler dévastatrice. Un logiciel, un langage informatique mal conçu et toutes nos données personnelles se retrouvent à la portée d’hackers à l’affut. Outre nos données, c’est notre démocratie qui peut être mise à mal par la technologie comme le met en lumière Roméo Gallabert. Le développement du vote électronique pose de nouvelles problématiques en matière de sécurité. Le bourrage d’urne nouvelle génération utilise dorénavant les failles Java. M.Gallabert qualifie ainsi Java de « maillon faible de la chaine de traitement du vote » et recense pas moins de cinq techniques permettant corrompre le chiffrement des bulletins de vote. Dans sa décision du 13 février dernier le Conseil constitutionnel a d’ailleurs reconnu « qu’un électeur de la 4ème circonscription est parvenu à exprimer par voie électronique au second tour du scrutin un vote en faveur d’un candidat ne figurant pas sur la liste des candidats ». Outre ces fraudes, de nombreux électeurs n’ont pût exprimer leur suffrage en raison d’incompatibilité matériel dû aux nombreuses versions de Java existante.
La multiplication des failles de sécurité est un véritable dilemme à l’heure où la thématique d’une possible cyber guerre prend de plus en plus d’ampleur, les vulnérabilités des équipements informatiques sont autant de menaces sur nos données personnelles et la compétitivité des entreprises. Il ne reste plus qu’à espérer qu’Oracle ne se transforme pas en Cassandre.
Martin Ralury.