Java - SANS Securing the Human
!
OUCH! | Janvier 2013
Dans cette édition
• Qu’est-ce que Java ?
• Les risques liés à Java
• Les meilleures défenses
Java
!
1
REDACTEUR INVITE
Arrigo Triulzi est le rédacteur invité pour ce sujet. Il est
consultant en sécurité indépendant avec plus de 25 années
d’expérience sur Genève en Suisse.
INTRODUCTION
Alors que les appareils mobiles (tels que les Smartphones et
les tablettes) nous offrent une nouvelle façon d’appréhender
la technologie, l’ordinateur reste toutefois notre principal outil,
utilisé à la fois dans nos vies professionnelles et
personnelles. Ainsi, que ce soit au travail ou à la maison,
votre ordinateur reste une cible privilégiée des cybers
criminels. En suivant les sept recommandations suivantes,
vous pourrez sécuriser votre ordinateur et ainsi le protéger
de la majorité des attaques connues.
VUE D’ENSEMBLE
Le terme logiciel désigne les programmes ou
applications que vous installez et utilisez tous les jours
sur votre ordinateur. Les exemples incluent votre
navigateur Web, votre traitement de texte, votre client de
messagerie, les jeux vidéo et les lecteurs multimédias.
Le problème avec la plupart de ces logiciels est qu'ils
sont écrits pour fonctionner uniquement sur un type
d’ordinateur précis. Par exemple, les logiciels écrits pour
Microsoft Windows ne peuvent s'exécuter que sur les
ordinateurs Windows, ils ne peuvent donc pas s'exécuter
sur un Mac d’Apple. La même chose s'applique pour les
logiciels écrits pour Mac, ils ne peuvent s'exécuter que
2
sur un ordinateur Mac. Avec Java c’est différent, il
s’agit d’un langage informatique qui permet aux
développeurs d'éditer des logiciels que vous pouvez
exécuter sur différents types d'ordinateurs, tels que
Microsoft Windows et Apple Mac. Pour permettre aux
programmes développés en Java de fonctionner sur
votre ordinateur, vous devez avoir Java (souvent
appelé l'environnement d'exécution Java) installé sur
celui-ci. Dans cette lettre d’information, nous allons
vous expliquer les dangers d'avoir Java installé sur
votre ordinateur et ce que vous pouvez faire afin de le
protéger. Remarque : Javascript et Java sont deux
choses complètement différentes. Cet article traite
uniquement de Java.
QUELS SONT LES RISQUES ?
Une méthode commune utilisée par les cybers attaquants
pour pirater les ordinateurs est de développer des
programmes spéciaux qui tirent profit des vulnérabilités des
logiciels présents sur votre ordinateur et les exploitent. Ces
faiblesses sont généralement propres à un type
d'ordinateur. Cela signifie donc que les outils de piratage
qu'ils ont développé pour attaquer des ordinateurs sous
Windows ne fonctionnent uniquement que sur Microsoft
Windows, ces outils ne fonctionneront pas sur les autres
types d'ordinateur comme les Mac par exemple, et vice
versa. Cela limite les cibles qu’ils peuvent attaquer et
comment ils peuvent le faire.
© The SANS Institute 2013
http://www.securingthehuman.org
!
OUCH! | Janvier 2013
Java!
3
Avec Java c’est différent car il a été conçu pour fonctionner sur
presque tous les ordinateurs permettant ainsi aux
cybercriminels de créer un outil d'attaque unique pouvant
potentiellement pirater n'importe quel ordinateur dans le monde
à partir du moment où celui-ci a Java d’installé. Cela rend les
vulnérabilités Java comme étant une cible attrayante pour les
attaquants car ils peuvent pirater beaucoup plus d’ordinateurs
et ce avec moins d'effort. De plus, Java est complexe, ce qui
signifie qu'il peut comporter de nombreuses vulnérabilités.
Enfin, la plupart des gens ne savent même pas ce qu’est Java
ou seulement s'ils l'ont installé. En conséquence de quoi, Java
est devenu une cible de choix pour les cybercriminels.
LA MEILLEURE DÉFENSE
En fin de compte, la meilleure défense est très simple, si vous
n'utilisez pas de programmes ou d’applications nécessitant
Java alors ne l’installez pas sur votre ordinateur. Installez Java
seulement si vous en avez absolument besoin. Si vous n'êtes
pas sûr de la présence actuelle de Java sur votre ordinateur, il
existe un moyen simple de la vérifier. Il vous suffit de vous
rendre sur le site Java via le lien ci-dessous afin de vérifier si
vous avez Java d’installé. Assurez-vous de seulement vérifier
la présence ou non de Java mais ne l'installez pas.
http://www.java.com/fr/download/installed.jsp
Si vous découvrez que vous avez Java d’installé mais que vous
n'en avez plus besoin alors désinstallez le de votre ordinateur.
SI VOUS DEVEZ L’UTILISER
Si vous devez absolument avoir Java installé sur votre poste, il
y a plusieurs choses que vous pouvez faire pour vous protéger.
1. GARDER LE A JOUR :
Assurez-vous d'avoir toujours la dernière version de Java
installée sur votre ordinateur. Les anciennes versions de
Java, ou pire les obsolètes, comportent de nombreuses
vulnérabilités connues rendant facile le piratage de votre
ordinateur par des cybercriminels. De plus, les futures
versions de Java peuvent avoir des fonctionnalités de
© The SANS Institute 2013
http://www.securingthehuman.org
4
sécurité supplémentaires. Pour les ordinateurs Windows,
cela est relativement simple. Pour vérifier la version de
Java présente sur votre ordinateur, cliquez sur l'icône Java
(dans le Panneau de configuration) et vérifiez que vous
avez la dernière version et qu'elle est configurée en mode
mise à jour automatique. Si vous n'avez pas la dernière
version alors pensez à la mettre à jour via le menu Java.
Pour les ordinateurs Mac, les options Java sont plus
complexes. Dans l’objectif de mieux protéger ses
utilisateurs, Apple distribue et met à jour sa propre version
de Java basée sur la version 1.6. Tant que vous gardez
votre système d'exploitation Mac à jour, vous garderez
également votre version de Java à jour. Les utilisateurs
d'Apple peuvent mettre à jour leurs ordinateurs en version
1.7 en téléchargeant cette version directement à partir de
Java est un logiciel qui peut vous
exposez à des risques
supplémentaires, si vous n'avez
pas besoin de Java alors ne
l'installez pas. Si vous en avez
besoin alors soyez sûr de toujours
utiliser la dernière version.
!
OUCH! | Janvier 2013
Java!
5
leur site Web, mais vous devrez alors maintenir et mettre à
jour cette version vous-même.!
2. DÉSACTIVER LE PLUGIN :
Une des méthodes les plus utilisées par les cybercriminels est
le piratage de Java au travers votre navigateur Web. Si vous
avez installé Java, votre navigateur aura ce qu'on appelle un
plugin Java, qui permettra à votre navigateur d'utiliser lui-aussi
Java. Lorsque vous vous connectez à un site Web malveillant,
des personnes malintentionnées peuvent pirater votre
ordinateur via votre plugin Java. Cependant, très peu de sites
requièrent Java pour fonctionner. Ainsi, dans la plupart des
cas, vous pouvez désactiver en toute sécurité le plugin Java
de votre navigateur. En outre, les nouvelles versions de Java
permettent de désactiver les plugins Java directement à partir
du panneau de configuration Java. La manière dont vous
devez désactiver le plugin de votre navigateur dépend de quel
navigateur vous utilisez. La plupart des navigateurs ont un
menu Préférences ou Paramètres dans lequel vous pouvez
désactiver le plugin Java de votre navigateur. Si vous trouvez
un site qui requiert Java pour fonctionner, alors vous pouvez
réactiver Java seulement pour ce site, puis le désactivez
lorsque vous avez terminé.
RESSOURCES
Certains liens présentés ci-dessous ont été raccourcis, pour
améliorer la lisibilité, avec le service TinyURL. Afin de
minimiser les problèmes de sécurité, OUCH ! utilise toujours
la fonctionnalité d’aperçu de TinyURL, qui vous montre la
destination finale du lien et vous demande votre permission
avant de vous y rediriger. Certains sites sont anglophones.
Qu’est-ce que Java :
http://preview.tinyurl.com/ccewbku
6
Désinstaller Java sous Windows :
http://preview.tinyurl.com/c9rq5e6
Désinstaller Java sous Mac :
http://preview.tinyurl.com/cpthho7
Désactiver le plugin Java de votre navigateur :
http://preview.tinyurl.com/cwptsxv
Vérification du navigateur :
https://browsercheck.qualys.com/
Les termes communs de la sécurité:
http://preview.tinyurl.com/6wkpae5
Astuce de sécurité du jour par le SANS:
http://preview.tinyurl.com/6s2wrkp
EN SAVOIR PLUS
Abonnez-vous à la lettre d’information mensuelle pour la
sensibilisation à la sécurité OUCH !, accédez aux archives
OUCH! et obtenez plus d’informations concernant les
solutions de sensibilisation à la sécurité SANS en visitant
notre site : http://www.securingthehuman.org.
VERSION FRANÇAISE
L’équipe Sécurité de ANSWER S.A. offre des services de
Conseil, d’Audit et d’Architecture en sécurité des systèmes
d’information. Ces activités sont accompagnées d’une veille
active sur les solutions de sécurité du marché, et d’une
activité de recherche en vulnérabilité, réalisées dans notre
laboratoire technique
Pour en savoir plus, veuillez-vous
référer aux liens suivant : http://www.answersolutions.ch -
http://blog.answersecurity.ch
© The SANS Institute 2013
http://www.securingthehuman.org
OUCH!&est&publiée&par&le&programme&SANS&«&sécuriser&l’humain&»&(Securing&The&Human)&et&est&distribuée&sous&la&licence&«&Creative&
Commons&BYENCEND&3.0&».&La&distribution&de&cette&lettre&d’information&est&autorisée&tant&que&vous&faites&référence&à&la&source,&qu’elle&
n’a&subie&aucune&modification&et&qu’elle&n’est&pas&utilisée&à&des&fins&commerciales.&Afin&d’obtenir&des&traductions&ou&plus&
d’informations,&merci&de&contacter&ouch@securingthehuman.org.&
Comité'de'rédaction':'Bill'Wyman,'Walt'Scrivens,'Phil'Hoffman,'Lance'Spitzner'
Traduit'par':'Damien'Lassus,'Benoit'Ramillon,'Marilyn'Combet'
'
1
/
3
100%
