Articles IT et Télécoms

Faut-il désinstaller Java ?

Depuis plusieurs mois, le logiciel Java fait régulièrement parler de lui au chapitre de la sécurité. Les attaques visant spécifiquement cette plateforme se multiplient et il est désormais légitime de se poser la question de conserver ou non un logiciel qui s’avère si dangereux pour une utilité souvent relative.

Java est une technologie logicielle apparue au milieu des années 90 et développée par le constructeur Sun avant que celui-ci ne soit finalement racheté par Oracle en 2009.

A cette époque reculée, s’agissant des débuts du Web, l’ambition de Sun avec Java était de développer une plateforme permettant de faire du Web autre chose qu’un outil servant à afficher des images et du texte. L’idée était de permettre aux développeurs de programmer des applications Web, appelées applets, capables de s’exécuter indifféremment du système d’exploitation et du navigateur utilisé.

Ce principe était résumé par le slogan « Write once, run anywhere » que l’on peut essayer de traduire par : « écrivez une fois votre programme et faites-le s’exécuter partout ».

La stratégie Java de Sun, largement motivée par son désir de contrer le Microsoft hégémonique des années 90, a finalement échoué pour trois raisons :

  • La promesse d’une compatibilité des applets Java ne s’est jamais matérialisée et le slogan de Sun a vite été détourné en « Write once, debug everywhere » ! par les développeurs qui se sont détournés de cette plateforme.
  • Ces mêmes développeurs se sont appuyés sur des outils tels que Flash d’Adobe, ActiveX de Microsoft et de plus en plus sur le standard HTML lui-même pour réaliser des sites interactifs de plus en plus sophistiqués.
  • Enfin la présence massive de Java sur les PC du monde entier, estimée à plus de 800 millions, a attiré l’attention des hackers qui voyait dans cette technologie une porte d’entrée peu sécurisée et plus facile à pénétrer qu’un Windows de mieux en mieux protégé.

Les attaques contre Java se sont multipliées ces derniers mois au point que le département américain de la sécurité intérieure demandait en janvier dernier de désinstaller Java compte tenu des risques présentés.

En fait, Java représente désormais le risque de sécurité numéro un et le laboratoire Kaspersky écrivait qu’en 2012, les trous de sécurité de Java étaient responsables de 50 % des attaques relevées cette année-là contre 3 % pour ce qui concerne Windows ou Internet Explorer.


Apple de son côté annonçait il y a quelques semaines qu’il cessait d’inclure Java dans les mises à jour de MacOS et renvoie ceux de ses utilisateurs qui ont absolument besoin de cet outil au site d’Oracle.

L’éditeur de son côté se voit reprocher de ne pas corriger suffisamment rapidement les failles de sécurité qui lui sont régulièrement signalées par des chercheurs spécialisé.

Oracle a de fait hérité de Java sans l’avoir développé. Le business model de cet éditeur consiste à vendre aux entreprises des solutions logicielles à un prix élevé, pas à fournir un service gratuit à des millions d’utilisateurs qui n’ont rien à lui acheter…

Les mises à jour de sécurité

Le problème de sécurité est encore accentué par le fait que peu d’utilisateurs se préoccupent de mettre à jour Java sur leurs PC. On peut dans une certaine mesure les comprendre quand on considère les pratiques douteuses d’Oracle pour leur faire installer des programmes additionnels en même temps que les mises à jour Java. C’est le cas de la barre d’outils Ask qui s’installe inopinément pour peu qu’on clique un peu rapidement sur les options d’installation proposées par défaut et qui fait d’Ask le moteur de recherche par défaut qu’un utilisateur peu averti aura du mal à désactiver.


Il n’est pas pour autant si facile de cesser d’utiliser Java. Si peu de sites destinés au grand public continuent encore à utiliser Java, il en va autrement d’un grand nombre d’entreprises.

Beaucoup de société, de banques ou d’agences gouvernementales s’appuient sur cette plateforme pour les services qu’elles proposent sur leurs sites Web. Ces applications métiers sont souvent codées sur la base d’une version spécifique de Java qu’elles ne peuvent pas mettre à jour sans risquer l’arrêt du fonctionnement de leurs services. On retrouve ici la même problématique de dépendance qui a conduit autant d’entreprises à continuer d’utiliser Internet Explorer 6 de peur de voir leurs applications internes cesser de fonctionner.

La question de la sécurité repose également sur les utilisateurs qui devraient dans la mesure du possible désactiver l’exécution de Java dans leur navigateur ou à défaut désinstaller purement et simplement cette plateforme de leurs machines.

Sous Windows, il suffit de se rendre dans le panneau de contrôle, de choisir l’option désinstaller un programme et de supprimer les occurrences de Java installées sur sa machine.

Il peut également se présenter des instances où l’utilisation de Java reste malgré tout incontournable. Certains logiciels comme LibreOffice, des jeux comme Minecraft s’appuient sur Java pour certaines de leurs fonctionnalités.

Dans ce cas de figure, il est justifié de conserver Java sur son PC sous réserve de mettre à jour régulièrement son système. A contrario, si aucune des applications utilisées ne nécessite Java, la prudence recommande de purement désinstaller Java sachant qu’il sera toujours possible de le réinstaller si le besoin s’en faisait sentir ultérieurement.

Discussion

Les commentaires sont fermés.

%d blogueurs aiment cette page :