Communiqué (11.01.2013)
CIRCL, CASES et BEE-SECURE mettent en garde contre une
vulnérabilité extrêmement critique dans le plugin JAVA de
votre navigateur
Une faille extrêmement critique a été découverte
récemment dans le composant Java utilisé par votre
navigateur. L'exploitation de cette faille permet à
l'attaquant à prendre le contrôle de l’ordinateur de la
victime.
Cette possibilité a été intégrée dans des logiciels
malveillants disponibles à grande échelle sur Internet. Ces
logiciels qui ne sont pas toujours détectables par les
systèmes classiques de protection (antivirus) sont ainsi
rapidement répandus ce qui les rend tellement dangereux. Le
simple fait d'aller sur une page infectée (ce qui n’est pas
visible préalablement) peut mettre votre ordinateur en
danger.
Pour protéger votre ordinateur et ainsi éviter d’accéder
à un site malicieux respectivement d’être infecté sur un tel
site, nous vous recommandons fortement de suivre les
conseils suivants:
1) Ne cliquez pas sur les liens proposés dans des
courriers électroniques (e-mails) ou sur des sites dans
lesquels vous n’avez pas une entière confiance
(publicités…).
Dans un contexte professionnel, travaillant dans des
réseaux d’entreprise sécurisés, l’accès à des sites
infectés, déployant des codes malicieux, est généralement
restreint. Ceci ne constitue pas une sécurité absolue, mais
un traitement réduisant le risque en question.
En fait,
une
telle faille de sécurité est connue dans l'implémentation
Java de Oracle depuis près d'un an (mars 2012 au
moins)
Pourtant, Oracle, officiellement informée, n'a pas apporté,
jusqu'à présent, de correctif satisfaisant à ce problème majeur.
(pour la précision, il semble que deux bugs différents soient
impliqués et qu'il en reste au moins un exploitable à ce jour).
Concernant Linux et les logiciels libres, on trouve de nombreux
sites, dont de très sérieux, qui informent que le trou de sécurité
est également exploitable sur Firefox/Linux (Ubuntu par exemple),
mais ça sous-entend qu'on utilise le plugin propriétaire d'Oracle.
David Maynor from Errata Security told
Infosecurity magazine,
that he has tested the metasploit latest version with this
java exploit and found the results are very positive. “I have
tested the following operating systems: Windows7,
Ubuntu 12.04, OSX 10.8.1. I have tested the
following browsers: Firefox 14.0.1 (Windows,
Linux, OSX), IE 9, Safari 6. The same
exploit worked on all of them.”
Des analyses faites par divers spécialistes et publiés sur
Internet concernant l'implémentation
libre de Java
(OpenJDK notamment) semblent démontrer que le bug affectait
également
l'implémentation OpenJDK de Java au début 2012, mais (et c'est là
que c'est important):
1°) Ce bug a été corrigé dès août 2012 dans cette implémentation
(OpenJDK)
2°) L'exploitation de ce bug n'a pu réussir sur Firefox/Linux à
cause de la bonne conception du mécanisme de plugins des
navigateurs (IcedTea ?)
3°) Comme c'est cette implémentation de Java qui est
majoritairement utilisée sur la plate-forme Linux (RedHat, Debian,
Ubuntu, ...), le système d'exploitation Linux est resté du côté
safe
4°) Des mises-à-jour du navigateur Firefox sur Linux ont désactivé
par défaut les plugins Java de Oracle là où il y en avait, dès
2012.
Bref, nous avons ici un splendide exemple, une fois de plus, de la
nocivité des logiciels propriétaires, puisque seule l’implantation
propriétaire de Oracle pose problème.
Nous avons ici l'exemple de la réactivité de la communauté,
puisque le problème, bien que présent dans OpenJDK (personne n'est
parfait) a été corrigé dès que connu, contrairement à
l'implémentation propriétaire, qui est toujours dangereuse au
moment ou nous parlons.
Nous avons également un splendide exemple de l'incompétence des
médias, puisque RTL indique ici que le problème affecte "
le
plugin Java de votre navigateur" alors qu'il n'affecte que
sa version propriétaire faite par Oracle.
Nous avons un argument de poids pour rappeler à tous les sites
utilisant cette technologie qu'ils ne peuvent se contenter d'être
compatibles avec
l'implémentation Oracle de Java, mais
bien avec
le standard Java.
Nous avons une illustration du désarroi de tous les propriétaires
de tablettes, téléphones portables, ... propriétaires (iPhones,
Galaxy, ...) qui ne peuvent
rien faire concernant cette
situation dès lors qu'ils n'ont aucun accès au système
d'exploitation de leurs appareils, bien qu'ils les aient payés.
Nous avons enfin un bel exemple de plus qu'il est malsain de faire
tourner un logiciel propriétaire, fusse-t-il un simple "plugin",
même si tout le reste de l'image logicielle de l'ordinateur est
intégralement libre.
Ce cas ne fait que s'ajouter à celui du plugin Flash, bien connu
également pour ses failles de sécurité, et qui par son caractère
propriétaire ne peut être corrigé qu'à condition de supplier (ou
de payer) son éditeur ou de s'en passer. Les plus anciens se
rappelleront aussi des problèmes de sécurité imposés par Internet
Explorer avec (ou même sans) ActiveX...
Idem concernant les fabricants de matériels (imprimantes, cartes
graphiques, GPS, téléphones portables, ...) qui imposent l'usage
de pilotes et/ou de logiciels propriétaires pour pouvoir accéder à
toutes les fonctionnalités de ces accessoires pourtant dûment
payés
par leurs propriétaires. Inutile d'insister sur le fait que les
spécifications des interfaces de ces produits devraient être une
précondition à toute mise sur le marché...
Idem enfin pour les États qui imposent des formulaires (PDF,
Ms-Word, ...) en formats propriétaires ou dans des versions non
libres de ces formats, imposant les citoyens de devoir prendre des
risques de sécurité du fait de l'usage de logiciels propriétaires
au lieu de transmettre ces informations en formats ouverts,
libres, publiés et interopérables, tel OpenDocument.
Bref, ces pratiques (usage massif de logiciels obscurs et
propriétaires) sur Internet constituent un
danger pour
l'usager et l'Internet en général, donc la sécurité de nos
sociétés, tant l'Internet est devenu
critique pour bien
des activités. Je pense qu'il serait judicieux que nous faisions à
ce sujet un
communiqué de presse conjoint LiLux/ISOC
appelant à ce que les responsables politiques favorisent les
bonnes pratiques qui consistent à utiliser des logiciels ouverts,
dont le code source est publié, à favoriser l'interopérabilité et
l'hétérogénéité des implémentations (et non la monoculture,
propice aux épidémies), et à favoriser le système d'exploitation
GNU/Linux, plus sûr par design et du fait de son caractère libre,
qui permet a des millions de programmeurs de relire et de corriger
les éventuelles bourdes de leurs collègues.
Qu'en pensez-vous ?