Cyberattaque, vote électronique : faut-il désactiver Java ?

Le langage Java réussira-t-il à sortir la tête de l'eau ? Sous le feu des critiques depuis plusieurs mois, le langage ne semble plus se dépêtrer des problèmes de sécurité de sa solution.

Après les vulnérabilités du langage ayant impacté le vote par Internet et la vague de  cyberattaque sur les majors américaines, c'est désormais une étude à grande échelle qui révèle l'ampleur des failles de Java. Son propriétaire Oracle ne semble en tout cas pas réussir à apporter les correctifs adéquats : du Département de la Sécurité intérieure des États-Unis aux antivirus comme Rapid7, de plus en plus de voix recommande désormais de « désactiver Java ».

Une étude à grande échelle réalisée par Veracode, spécialiste en matière de test de vulnérabilité, a permis de comparer la vulnérabilité des différents langage de programmation. Les résultats publiés début avril ont montré que sur 22.000 applications analysées pendant 18 mois, l'analyse de code a révélé que 82% d'applications comportaient des vulnérabilités dans le code. L'information sur ces failles n'est pas nouvelle (voir le succés du hashtag #javaflaw sur Twitter) mais l'étude a permis de vérifier l'ampleur de la vulnérabilité du langage. Considérable donc, d'autant plus si on le compare aux 28% d'applications vulnérables pour le langage concurrent C/C++. Pas étonnant dans ce contexte que l'étude révèle que de plus en plus d'entreprises se résignent désormais à se passer de Java.

Une désaffection qui peut se comprendre étant donné le lot conséquent d'entreprises ayant été victimes de ces failles ces derniers mois, comme s'en était fait l'écho le JDN. Facebook, Twitter et en février dernier Apple ont ainsi connu des cyberattaques ayant pour origine des failles du langage Java. Le processus utilisé était à chaque fois le même : une faille dite « zero day » a permis au « cybercriminel » d'installer un cheval de Troie lors de l’exécution d'un plugin Java dans le système d'un employé de la compagnie. Une fois le pirate introduit dans la machine, il lui est facile d'en prendre le contrôle et d'accéder à l'ensemble des fichiers de la victime. Apple avait été pourtant sur ces gardes depuis plusieurs années, « Ça ne sert à rien de développer pour Java. C’est un boulet » avait ainsi affirmé Steve Jobs dés 2007. Même chose pour Microsoft qui n'inclut plus pour raison de sécurité la solution depuis 2004 dans son système d'exploitation Windows. 

L'an dernier Java avait déjà fait parler de lui concernant le vote par Internet. Il s'était en effet avéré être la cause de nombreux dysfonctionnement ayant impacté la première utilisation à grande échelle du vote électronique en France. Il y'a un an, les élections législatives avaient ainsi valeur de test pour le vote par Internet dont seuls les français résident à l'étranger pouvaient bénéficier. Si les avantages relevant de cette technologie (rapidité, dépouillement automatique …) ne sont pas à remettre en cause, le « test » s'était avéré gâché par les nombreux bugs techniques ayant pour origine des composants Java. Les dernières versions du langage de programmation se révélant incompatible, il fallait ainsi « downgrader » une version moins récente de Java (1.6), réputé particulièrement vulnérable, pour accéder au vote… un comble pour un vote national. Un ingénieur informaticien français. Étant donné l'importance de la sécurité du vote citoyen (si il y a bien un domaine où il faut s'assure un maximum de sécurisation, c'est bien le vote à une élection nationale), les vulnérabilités de Java rendent le langage particulièrement inadapté au système de vote électronique. Laurent Grégoire, avait par ailleurs alerté le conseil constitutionnel sur la facilité à modifier les bulletins de votes des électeurs en effectuant une modification assez simple de l'applet Java.

Tant qu'Oracle n'aura pas trouver de solutions réellement satisfaisantes, les voix s’élèvent donc recommandant de désinstaller Javaque ce soit pour les navigateurs des particuliers, pour les entreprises et même donc pour des applications alternatives type vote électronique. La très officielle Sécurité intérieure américaine (DHS) n'a d'ailleurs toujours pas retiré sur sa page qu'elle : « recommande de désactiver l’extension Java».