La semaine dernière une nouvelle faille zero daypoussait les experts en sécurité à demander aux utilisateurs de désactiver Java sans délai. Oracle vient de publier un correctif, qui répare quelques-unes des failles et augmente également le niveau de sécurité par défaut de Java, ce qui devrait compliquer la tâche des pirates informatiques mal intentionnés, puisqu’un message avertira l’utilisateur chaque fois qu’un applet Java non signé ou qu’une application Web Java tentera de s’exécuter.
Toujours vulnérable
Pour autant, pour nombre d’experts en sécurité, cette mise à jour intervient à la fois trop tard et fait trop peu. Ainsi, Adam Godwiak, chercheur en sécurité pour la société spécialisée Security Explorations, déclarait à Reuters : « Nous n’osons pas dire aux utilisateurs qu’il est désormais sûr de réactiver Java ». Tandis que le responsable de la sécurité de Rapid7 indiquait lui que « la chose la plus sûre à faire actuellement est simplement de présupposer que Java sera toujours vulnérable. Les gens n’en ont pas besoin sur leur ordinateur ».
Lourd de menaces
Difficile de ne pas approuver cette position quand on sait, à en croire le laboratoire de sécurité de Kaspersky, que Java est à l’origine de plus de 50% des cyberattaques qui ont permis à des pirates de pénétrer un ordinateur grâce à un bug l’année dernière. Pour comparaison, selon cette étude de Kaspersky, Windows et Internet Explorer, pourtant souvent montrés du doigt, ne représentent que 3% de ces incidents.
-->
