Dois-je vraiment supprimer Java de toutes mes machines Windows 7 exécutant MSE et Chrome ?
Richard (via Twitter)
Je pense que tout le monde devrait désinstaller Java de tous ses PC et Mac, puis réfléchir soigneusement à la nécessité de le rajouter. Si vous êtes un utilisateur domestique typique, vous pouvez probablement vous en passer. Si vous êtes un utilisateur professionnel, vous n’avez peut-être pas le choix. De nombreuses entreprises ont utilisé le langage Java pour développer des applications professionnelles qui fonctionnent sur des serveurs, et ce Java « côté serveur » est sûr. C’est le Java « côté client » s’exécutant via des plug-ins de navigateur web qui n’est pas sûr.
Notez que Java n’a rien à voir avec JavaScript, qui est un autre langage utilisé pour développer des sites web et des applications. JavaScript a été développé à l’origine par une autre société (Netscape) sous un autre nom (LiveScript). Le nom a été changé pour des raisons de marketing qui ont déshonoré les deux entreprises concernées, dont aucune n’a survécu.
Java a fait l’actualité cette année en raison de certaines vulnérabilités « zero day » exploitées par des auteurs de logiciels malveillants. (Zero day signifie qu’il n’y a pas de correctif pour la faille, les utilisateurs ne peuvent donc pas se protéger en mettant à jour leurs logiciels). Cela s’est également produit en août dernier, et The Register a publié un article intitulé Disable Java NOW, users told, as 0-day exploit hits web.
En fait, Java est devenu le principal vecteur des attaques de logiciels malveillants au troisième trimestre 2010, où elles ont été multipliées par 14, selon le Security Intelligence Report Volume 10 (PDF) de Microsoft. Les choses ont empiré, et Kaspersky, une société anti-virus de premier plan, a surnommé 2012 L’année des vulnérabilités Java. Elle a déclaré : « Les failles de sécurité Java ont été responsables de 50 % des attaques. Les composants Windows et Internet Explorer n’ont été exploités que dans 3 % des incidents. » Oui, c’est aussi mauvais que cela.
Je considère donc Java comme un risque de sécurité inutile, et je l’ai supprimé de nos PC domestiques il y a des années. Il y avait quelques choses que je ne pouvais plus exécuter, comme KeepVid pour télécharger des vidéos YouTube et certains tests de vitesse ASDL, et j’ai donc dû trouver des alternatives. Je vous suggère de faire de même. Vivre sans Java est beaucoup moins difficile que de vivre sans Adobe Flash.
Tous les programmes ont des bogues et peuvent avoir des failles de sécurité, alors pourquoi cette approche draconienne ? Désolé de le dire, je n’ai pas assez confiance dans la capacité d’Oracle à le réparer. Oracle n’a pas écrit Java, il en a simplement hérité lorsqu’il a racheté la société Sun Microsystems en faillite, et selon The Register : « HD Moore, fondateur de Metasploit, a averti qu’Oracle était toujours assis sur un arriéré de failles Java qui prendront jusqu’à deux ans à corriger, même sans la découverte de nouvelles failles. »
Oracle est bon pour vendre des produits à prix élevé aux grandes entreprises, mais Java implique de traiter avec jusqu’à un milliard de consommateurs non payants. À mon avis, la réponse tardive d’Oracle à la récente « véritable tempête médiatique » ne fait pas les bons bruits sur la protection des consommateurs. Elle semble plus préoccupée par la défense de ses activités lucratives liées à Java côté serveur et intégré.
Donc, commencez par désactiver Java dans tous vos navigateurs. Dans Internet Explorer 8, par exemple, sélectionnez Outils puis Gérer les modules complémentaires, et dans Google Chrome, tapez chrome://plugins dans la barre d’adresse. Le blog Naked Security de Sophos propose des instructions pour la plupart des navigateurs populaires.
Je recommande également de désinstaller toutes les autres versions de Java que vous pouvez trouver via le panneau de configuration de Windows. Vous pouvez en trouver trois ou quatre : d’après mon expérience, les anciennes versions de Java ne sont pas toujours supprimées. Ensuite, exécutez le programme gratuit CCleaner pour éliminer tous les bits laissés derrière vous. (Si vous n’avez pas CCleaner, téléchargez-le sur piriform.com, pas sur un site d’escroquerie ou une publicité Google.)
Puis, allez sur le site java.com et cliquez sur le lien qui dit « Est-ce que j’ai Java ? ». La réponse devrait être non.
Réinstallation de Java
Si vous savez que vous devez avoir Java installé, vous pouvez maintenant faire une installation propre de la dernière version, soit Java 6 à la mise à jour 39, soit Java 7 mise à jour 13. Java 6 est en voie d’extinction et ne sera plus mis à jour. Certaines entreprises l’ont conservé, peut-être en raison de la mauvaise réputation de Java 7 en matière de sécurité, mais il présente la plupart des mêmes vulnérabilités. Les utilisateurs de Mac doivent effectuer une mise à jour vers Java 7 Update 13 pour Mac OS X.
Si vous n’êtes pas sûr d’avoir besoin de Java, essayez de faire fonctionner votre PC pendant quelques semaines pour voir si vous pouvez vous en passer. Vous recevrez une notification de tout site Web qui nécessite un plug-in de navigateur Java. Cependant, vous devez l’installer à partir de java.com, car certains logiciels malveillants se font passer pour la mise à jour 11 de Java.
N’installez Java que dans un seul navigateur Web, et utilisez ce navigateur uniquement pour les sites Java. Par exemple, si vous naviguez normalement sur le web avec IE ou Chrome, installez le plug-in Java dans Firefox ou Opera, ou vice versa. Java est attaqué, et le fait de le limiter à un seul navigateur minimise la « surface d’attaque ».
En outre, chaque fois que vous installez ou mettez à jour Java, faites-le avec précaution. Oracle peut essayer d’installer d’autres logiciels que vous ne voulez absolument pas, comme la barre d’outils Ask. Ed Bott de ZDNet et Ben Edelman de la Harvard Business School ont analysé le problème dans A close look at how Oracle installs deceptive software with Java updates. Ne vous faites pas prendre.
Java sur les Macs
Java est un système multiplateforme, les mêmes vulnérabilités peuvent donc être présentes sur d’autres systèmes d’exploitation que Windows. Les utilisateurs d’Apple ont également souffert. En 2010, par exemple, il existait une version Mac OS X du ver Koobface. L’année dernière, le cheval de Troie Mac Flashback a conduit à l’ajout de plus de 600 000 Mac infectés à un botnet, dont 274 dans la ville natale d’Apple, Cupertino.
Apple a cessé d’inclure Java par défaut dans OS X 10.7 (Lion), et vient d’utiliser son logiciel XProtect pour bloquer les versions actuelles de Java jusqu’à ce qu’elles soient corrigées. En fait, il a traité Java comme un logiciel malveillant. Les clients étaient ainsi protégés, mais tout le monde n’était pas satisfait. Après que MacWorld UK a rapporté l’histoire (Apple bannit Java des Macs, les entreprises qui dépendent de Java sont dépourvues), la rédactrice en chef Karen Haslam s’est amusée sur Twitter : « Malheureusement, nous sommes l’une des entreprises concernées… peut-être qu’Apple ne veut pas que nous allions à la presse ! »
Le magazine InfoWorld s’est plaint que le sabotage de Java par Apple est une mauvaise affaire informatique. Comme Apple est une société d’électronique grand public, je ne pense pas qu’elle soit trop préoccupée par l’informatique d’entreprise.
Précautions supplémentaires
Je pense que tout le monde devrait être libre d’exécuter le système d’exploitation et les applications qu’il souhaite. Cependant, vous devez savoir que l’exécution de Java dans le navigateur apporte un risque supplémentaire, et donc vous devez prendre des précautions supplémentaires.
(1) Exécutez toujours la dernière version de Java et assurez-vous d’installer tous les correctifs. À l’heure actuelle, cela peut signifier vérifier les mises à jour chaque semaine, voire chaque jour. Vous pouvez le faire avec le Personal Software Inspector de Secunia. (Je ne ferais pas confiance au dispositif de mise à jour intégré de Java.)
(2) Exécutez des vérifications supplémentaires pour les logiciels malveillants en utilisant un produit antivirus différent de celui que vous avez déjà installé, surtout s’il s’agit de MSE (Microsoft Security Essentials). Deux bons vérificateurs autonomes gratuits sont Malwarebytes AntiMalware et Kaspersky Security Scan.
(3) Faites des sauvegardes quotidiennes et conservez un clone de votre disque dur. Les PC sont bon marché mais les données peuvent être irremplaçables.