Vidéo: Exo Jour 21/30 - Java 4 - La Banque (Novembre 2024)
Oubliez zéro jour. Les attaques Java réussissent car les utilisateurs exécutent des versions obsolètes du plug-in Java dans leur navigateur.
Près de 75% des utilisateurs finaux utilisent une version de Java depuis au moins six mois dans leur navigateur. Charles Renert, vice-président de la recherche et du développement chez Websense, a écrit ce lundi sur le blog de Websense Security Labs. Seuls cinq pour cent des systèmes d'extrémité exécutaient la dernière version de Java Runtime Environment, la 1.7.17, Websense.
Les chiffres deviennent encore plus pénibles lorsque vous regardez les anciennes versions du plug-in Java pour le navigateur. Les deux tiers des utilisateurs avaient Java depuis au moins un an et 50% utilisaient une version de plus de deux ans. Près de 25% des utilisateurs avaient en réalité une version de plus de quatre ans. Le graphique ci-dessus contient les détails. Cliquez pour voir une image plus grande (une image encore plus grande est affichée sur le blog).
"Comme vous pouvez le constater, les versions de Java sont répandues sur la carte", a noté Renert.
Les données de cette analyse proviennent de dizaines de millions de terminaux du réseau ThreatSeeker de Websense.
Java obsolète se traduit par des attaques
Après avoir confirmé que, malgré les rappels fréquents de mise à jour de Java (quel que soit le logiciel installé sur l'ordinateur), une grande majorité des utilisateurs ne le faisaient pas, Websense a examiné la vulnérabilité des anciennes versions. Comme SecurityWatch l’ a déjà fait remarquer, la plupart des cyber-attaques ne se préoccupent pas des vulnérabilités «jour-zéro», en particulier s’il existe un pool de victimes géant exécutant un logiciel obsolète.
"C'est ce que font les méchants: examinez vos contrôles de sécurité et trouvez le moyen le plus simple de les contourner", a déclaré Renert.
Websense a examiné les vulnérabilités Java ciblées dans les kits d’exploitation Cool, Gong Da, MiniDuke, Blackhole 2.0, RedKit et CritXPack et a découvert que les utilisateurs disposant d’un plug-in Java obsolète activé dans le navigateur étaient vulnérables aux attaques utilisées par moins un des kits. La plus grande faille Java exploitée unique existe dans les versions 1.7.15 et 1.6.41 et antérieures de JRE, et 93, 77% des navigateurs sont vulnérables, a déclaré Renert. La deuxième vulnérabilité la plus exploitée est dans la version 1.7.11 et affecte 83, 87% des navigateurs. Les deux exploits sont ciblés par le kit d’exploitation Cool.
"Saisir une copie de la dernière version de Cool et utiliser un exploit pré-packagé est une barre assez basse pour s'attaquer à une telle population de navigateurs vulnérables", a déclaré Renert, ajoutant: "Ce n'est clairement pas juste les attaques du jour zéro devrait recevoir toute l'attention."
De nombreux utilisateurs n'ont pas encore migré vers la nouvelle version du kit de développement Java. Environ 79% des utilisateurs utilisaient encore des plugins basés sur Java 6, a constaté Websense. Étant donné qu'Oracle a publié Java Development Kit 6, mise à jour 43 il y a quelques semaines à peine, et que Java 6 ne sera plus pris en charge, les utilisateurs doivent réellement passer à Java 7 dès que possible.
"Si vous n'êtes pas sur la version 7 (ce qui représente 78, 86% des utilisateurs), Oracle ne vous enverra plus de mises à jour, même si de nouvelles vulnérabilités sont découvertes", a averti Renert.
Vous êtes limité en matière de défense contre les attaques du jour zéro, mais vous pouvez vous protéger de toutes ces attaques à l’aide d’exploits plus anciens de deux manières simples: installer des mises à jour de sécurité sur votre système d’exploitation et vos logiciels dès qu’ils deviennent disponibles Passez à la dernière version partout où vous le pouvez.
C'est la chose à faire.
