Vidéo: Activer le javascript de votre navigateur (Novembre 2024)
Java est attaqué.
Non seulement des Black Hat qui fabriquent des téléchargements, des pièces jointes malveillantes et d'autres attaques exploitant les vulnérabilités de la technologie, mais également des White Hat qui affirment que les utilisateurs ne devraient pas l'utiliser du tout. Même après qu’Oracle ait corrigé le dernier lot de vulnérabilités «jour zéro» en Java, l’équipe de préparation aux situations d’urgence du département de la Sécurité intérieure (US-CERT) a recommandé aux utilisateurs de désactiver Java.
Tout comme Flash, Adobe est une cible populaire en raison de sa très grande base installée. Si vous n'utilisez vraiment pas de sites Web nécessitant Java, lancez-le. Nous avons même de bonnes instructions pour désactiver Java dans votre navigateur.
Mais j'utilise Java!
Ensuite, il y a le reste d'entre nous qui utilisons réellement Java sur une base régulière.
"Je doute que quiconque prête attention aux conseils de sécurité exécute Java, IE 6/7/8, et al. Parce qu'ils le veulent - nous gérons ces choses parce que nous devons le faire et que la décision est hors de notre contrôle", Jack Daniel, gourou de la sécurité, a écrit sur Uncommon Sense Security.
Lorsque j'ai regardé autour de moi pour voir quelles applications utilisaient Java, j'ai réalisé que de nombreuses applications de bureau populaires convenaient parfaitement, notamment des alternatives Office, ThinkFree Office, LibreOffice et OpenOffice, ainsi que des jeux populaires tels que Minecraft. Plusieurs applications Adobe nécessitent également Java pour exécuter certains composants. Rien à craindre, car il s'agit d'applications Java autonomes et non de celles exécutées dans le navigateur Web.. Si vous avez suivi nos instructions pas à pas, vous avez désactivé Java uniquement dans le navigateur. Les applications locales fonctionneront toujours correctement.
Mais il s'avère que de nombreux sites de jeux et entreprises utilisent encore Java. Les services bancaires spécialisés, tels que Citi Private Bank, qui regroupe les investissements traditionnels et bancaires dans un seul compte, semblent en être un exemple. Les services en nuage tels que Box.net utilisent des outils de téléchargement de fichiers en bloc avec Java. Citrix et Cisco proposent tous deux des produits VPN SSL sans client, qui permettent aux utilisateurs d'établir un tunnel VPN sécurisé et d'accès distant à l'aide d'un navigateur Web compatible Java.
Êtes-vous un étudiant? Il est fort probable que votre école utilise Blackboard, qui nécessite la dernière version du plug-in Java pour télécharger des fichiers et des pièces jointes, utiliser la fonctionnalité de discussion en temps réel Virtual Classroom et activer certaines fonctionnalités interactives sur la plate-forme.
Pogo.com et KidsPlayPark.com proposent des jeux Java en ligne. De nombreux utilisateurs de Pogo, inquiets des dernières menaces, semblent avoir remplacé Java 7 par Java 6 (qu'Oracle ne prendra plus en charge après février), selon des publications sur les forums d'utilisateurs. Juste pour que vous sachiez, c'est une mauvaise idée spectaculaire. De nombreuses attaques ciblent des logiciels obsolètes. il n’est pas nécessaire de risquer un ensemble d’attaques totalement différent pour éviter la dernière récolte.
Quelles sont les alternatives pour l'informatique?
"Si vous avez des applications critiques nécessitant Java: essayez de les remplacer", a déclaré Johannes Ullrich du SANS Institute sur le blog Internet Storm Center la semaine dernière.
Les plates-formes de conférence Web semblent être les plus gros obstacles. WebEx et Citrix GoToMeeting de Cisco nécessitaient Java, mais les deux plates-formes ont récemment modifié leurs applications pour utiliser une version différente si elles ne trouvent pas Java. Citrix a déclaré que Java était en train de se retirer complètement. Cependant, d'autres personnes dans l'espace, notamment MeetingBurner et OmniJoin de Brother, utilisent toujours Java. Join.me, ClickMeeting et ReadyTalk sont basés sur Flash.
Même si les outils d'accès à distance étaient principalement basés sur Java, il existe une liste de plus en plus d'alternatives pouvant être utilisées pour le support technique, a expliqué Chet Wisniewski, conseiller en sécurité pour Sophos, à SecurityWatch . Les clients de bureau à distance sont également intégrés à Mac OS X et Windows.
"Pour soutenir ma mère et mon père, j'utilise la version gratuite de LogMeIn", a-t-il déclaré. LogMeIn Free utilise ActiveX.
Et si je ne peux pas changer?
Pour de nombreuses entreprises, "il n'y a pas d'alternative", a déclaré à SecurityWatch Thomas Kristensen, CSO de Secunia. Bien qu'il soit possible de remplacer certaines applications, les administrateurs devront en général trouver d'autres moyens de protéger leurs employés. L'un des moyens de réduire la surface d'attaque consiste à activer Java uniquement pour ceux qui en ont réellement besoin et à le désactiver pour tous les autres, a déclaré Kristensen.
Au lieu de dire aux employés de ne plus utiliser Java, les entreprises devraient se concentrer sur le «bubble-wrap» afin de protéger les utilisateurs, a déclaré Anup Ghosh, de Invincea, à SecurityWatch . Les utilisateurs peuvent surfer sur le Web via un navigateur virtualisé et s’ils rencontrent des sites malveillants, ouvrent accidentellement un fichier piégé ou tentent de télécharger un logiciel malveillant, l’environnement virtuel bloquera l’exécution de l’attaque sur la machine réelle. Dès que le navigateur virtuel est fermé, l'attaque est supprimée. Et le meilleur de tous, un navigateur virtuel vous protégerait d'un plus grand nombre de menaces, pas seulement de celles basées sur Java.
Les utilisateurs peuvent adopter un système à deux navigateurs. Si vous naviguez normalement sur le Web avec Firefox, par exemple, envisagez de désactiver le plug-in Java dans Firefox. Ensuite, activez Java dans un autre navigateur, tel que Chrome, IE9, Safari, etc., et naviguez uniquement vers les sites nécessitant Java, mais jamais pour la navigation Web générale.
"Il est préférable d'activer Java dans un navigateur et de ne l'utiliser que pour des sites Web qui ne fonctionneront pas sans lui", a déclaré Wisniewski.
Les attaquants aiment changer de cible: Flash, Internet Explorer, Adobe Reader. "Tout le monde a un jour zéro à un moment ou à un autre", a écrit Rob VandenBrink de Metafore sur Internet Storm Center.
Désactiver Java n'est qu'un moyen de se défendre contre les menaces Web, mais pas une solution universelle. Les organisations peuvent limiter leur exposition et adopter des pratiques de sécurité, telles que le filtrage Web et le fait que les utilisateurs s'exécutent avec des privilèges limités, pour bloquer les attaques, a-t-il déclaré.
"Arrêtez de pointer du doigt et de faire des recommandations générales qui ne peuvent pas être suivies", a écrit VandenBrink.
Pour en savoir plus sur Fahmida, suivez-la sur Twitter @zdFYRashid.
