Comment désactiver Java pour se protéger des pirates ?
Les failles critiques affectant Java se sont accumulées ces derniers mois. Même Oracle le reconnaît, c'est une cible de choix pour les pirates. "La popularité de l'environnement d'exécution Java dans les navigateurs, et le fait que Java dans les navigateurs soit indépendant de l'OS, ont rendu ce langage attrayant pour les pirates informatiques", a ainsi admis Eric Maurice, responsable de la sécurité des logiciels Oracle sur le blog officiel du fournisseur.
Ainsi, en moins de six mois, plusieurs vulnérabilités critiques 0 day, donc non corrigées ont été découvertes. Les détails pour les exploiter ont même pu être publiés et largement diffusés : les pirates n'ont donc pas manqué de se ruer dessus, et ont massivement exploité ces vulnérabilités. Même Twitter aurait été victime de ces failles.
L'accumulation de ces vulnréabilités critiques ont poussé de nombreux experts en sécurité informatique à tout simplement recommander de désactiver Java. Même le Département de la sécurité intérieure des Etats-Unis a officiellement conseillé cette désactivation, lorsqu'elle est possible, afin de se protéger contre les futures failles Java.
Plusieurs méthodes sont possibles.
Désactiver Java depuis son Panneau de configuration
La première est de désactiver Java depuis son Panneau de configuration. La manœuvre est possible depuis la version 7.10 de Java
Pour accéder à ce Panneau de configuration de Java, depuis Windows Vista ou 7, il faut le chercher dans le Panneau de configuration du menu Démarrer de Windows. Dans le champ "Rechercher" en haut à gauche, il faut ensuite taper "Java", puis cliquer sur l'icône Java qui est apparue, et aller dans l'onglet Sécurité. Il suffit ensuite de désactiver "le contenu Java dans le navigateur".
Cela empêchera complètement toute les applications Java (signées ou non signées) de s'exécuter dans un navigateur. Cette procédure affecte tous les navigateurs qui utilisent des plugins Java, mais pas les applications Java de type standalone.
Désactiver Java depuis les navigateurs
La plupart des navigateurs proposent un menu permettant de désactiver Java.
Avec Firefox : Il faut se rendre dans le menu Outils, puis Modules complémentaires, et désactiver tout ce qui comporte le terme Java (Java Deployment Toolkit, Java TM Platform SE). Il faut ensuite redémarrer le navigateur de Mozilla
Avec Chrome : depuis l'icône aux trois traits, en haut à droite de la fenêtre du navigateur, il faut sélectionner les "Paramètres", puis taper "Java" dans le champ de recherche en haut à droite. Doit alors apparaître un bouton "Paramètres du contenu", pointé par une flèche jaune portant l'inscription "Java" invitant à cliquer dessus. Il faut ensuite utiliser la barre défilante pour atteindre la section "plugins" qui propose de "désactiver les plugins individuels". Dans la liste se trouve un lien proposant de désactiver Java.
Avec Internet Explorer, c'est plus compliqué. Oracle recommande de passer par le panneau de configuration Java. Microsoft, de son côté, a publié la marche à suivre, et ses instructions impliquent de modifier le Registre. L'expert Brian Krebs a aussi publié une méthode peut-être plus accessible, mais qui ne fonctionne pas sur toutes les versions de Windows.
Avec Safari, il faut sélectionner Préférences, choisir l'option Sécurité, et désélectionner "Activer Java".