Faille zero day dans Java : Oracle publie un correctif

Les pirates se sont massivement précipités sur la récente faille affectant la dernière version de Java, qu'Oracle semblait néanmoins connaître depuis quatre mois. Une affaire dont le déroulement inquiète les experts en sécurité.

Oracle, l'un des plus gros éditeurs de la planète, ne ferait-il pas preuve d'une certaine irresponsabilité ? Une grave faille affectant la dernière version de Java a été largement relayée. Des hackers avaient pu valider la faisabilité des codes d'exploitation (exploits) sur tous les navigateurs et OS à jour, tout en mettant en ligne leurs exploits qui ont rapidement été pris d'assaut par les pirates. Les sites proposant ces codes se comptent désormais par centaine. 

Problème : pendant ce temps, Oracle est resté totalement muet, et n'a pas pris le temps de réagir, confirmer la faille, bien réelle, ou de donner des conseils. Pas un mot. C'est hier que l'éditeur s'est finalement décidé à mettre à jour son produit. Les informations et correctifs sont désormais disponibles sur son site.

Alarme des experts

Une société de sécurité a révélé avoir alerté l'éditeur dès le 2 avril dernier en démontrant la gravité de la vulnérabilité. Le dernier patch de Java avait été publié en juillet. En quatre mois, Oracle n'avait donc ni corrigé la fameuse faille, ni inscrit la vulnérabilité dans son tableau d'alertes de sécurité.

Cette histoire inquiète aujourd'hui, entre autres, Eric Freyssinet, chef de la division de lutte contre la cybercriminalité, qui écrit sur son blog que "quelque chose ne va pas dans le monde de la sécurité". Il y dénonce, entre autres "un éditeur qui ne communique pas sur les mesures qu'il envisage de prendre". Ce n'est cependant pas le seul point qui pose problème à ce spécialiste, qui demande finalement surtout "que les professionnels de la sécurité informatique se mettent enfin d'accord sur des procédures responsables de divulgation des vulnérabilités". Il estime qu'en quelques jours, 100 000 euros ont pu être détournés par des cybercriminels exploitant cette faille.

Java / Faille