La petite icône de tasse de café qui trône dans la barre de menu de Windows est moins inoffensive qu'elle n'en a l'air. La dernière version de l'environnement d'exécution Java (Java 7) contient en effet une importante faille de sécurité. Dimanche dernier, FireEye , un cabinet de sécurité informatique, a révélé la vulnérabilité qu'il caractérise comme «extrêmement critique» . Il s'agit en effet d'une faille «0 day», ce qui signifie qu'elle était déjà exploitée avant même que le grand public soit au courant... et protégé.
Avec cette vulnérabilité dans Java 7 (les versions précédentes ne sont pas touchées) des hackers peuvent exécuter à distance du code sans l'intervention de l'utilisateur. Une jolie porte ouverte pour installer tout type de logiciel malveillant. Et ce, quel que soit le navigateur web et le système d'exploitation, même si seul Windows semble ciblé pour le moment. Un dérivé du cheval de Troie «Poison Ivy», qui permet de voler des informations d'un ordinateur, est déjà en train d'opérer et des kits d'exploitations de failles aux noms fleuris -- Sakura, Sweet orange... -- ont vu le jour, facilitant ainsi l'utilisation de la vulnérabilité.
Le nombre d'ordinateurs concernés par cette faille est potentiellement très important. La plate-forme Java, qui permet d'exécuter des programmes écrits en langage Java, est installée sur plus de 850 millions d'ordinateurs de bureau selon le site officiel de son éditeur. Difficile en revanche de savoir à quelle hauteur se situe l'utilisation de Java 7 dans ce total.
Cette mésaventure aurait pu être évitée. Security Explorations , une société de sécurité polonaise, avait alerté Oracle, qui s'occupe du développement de Java, dès le mois d'avril sur ce sujet. Mais l'éditeur n'a pas bougé le petit doigt. En attendant qu'Oracle sorte un patch pour combler la faille, la prochaine mise à jour de sécurité est toujours prévu pour le 16 octobre, soit dans une éternité, il est chaudement recommander de désinstaller Java 7 de sa machine.