Ce matin, RTL semble avoir découvert la roue:
/*Communiqué (11.01.2013)*/
/*CIRCL, CASES et BEE-SECURE mettent en garde contre une vulnérabilité
extrêmement critique dans le plugin JAVA de votre navigateur*/
/Une faille extrêmement critique a été découverte récemment dans le
composant Java utilisé par votre navigateur. L'exploitation de cette
faille permet à l'attaquant à prendre le contrôle de l’ordinateur de
la victime./
/Cette possibilité a été intégrée dans des logiciels malveillants
disponibles à grande échelle sur Internet. Ces logiciels qui ne sont
pas toujours détectables par les systèmes classiques de protection
(antivirus) sont ainsi rapidement répandus ce qui les rend tellement
dangereux. Le simple fait d'aller sur une page infectée (ce qui n’est
pas visible préalablement) peut mettre votre ordinateur en danger./
/Pour protéger votre ordinateur et ainsi éviter d’accéder à un site
malicieux respectivement d’être infecté sur un tel site, nous vous
recommandons fortement de suivre les conseils suivants:/
/1) Ne cliquez pas sur les liens proposés dans des courriers
électroniques (e-mails) ou sur des sites dans lesquels vous n’avez pas
une entière confiance (publicités…)./
/Dans un contexte professionnel, travaillant dans des réseaux
d’entreprise sécurisés, l’accès à des sites infectés, déployant des
codes malicieux, est généralement restreint. Ceci ne constitue pas une
sécurité absolue, mais un traitement réduisant le risque en question./
En fait, une telle faille de sécurité est connue *dans l'implémentation
Java de Oracle*
<http://pentestlab.wordpress.com/2012/03/30/java-exploit-attack-cve-2012-0507/>
depuis près d'un an (mars 2012 au moins)
Pourtant, Oracle, officiellement informée, n'a pas apporté, jusqu'à
présent, de correctif satisfaisant à ce problème majeur.
(pour la précision, il semble que deux bugs différents soient impliqués
et qu'il en reste au moins un exploitable à ce jour).
Concernant Linux et les logiciels libres, on trouve de nombreux sites,
dont de très sérieux, qui informent que le trou de sécurité est
également exploitable sur Firefox/Linux (Ubuntu par exemple), mais ça
sous-entend qu'on utilise le plugin propriétaire d'Oracle.
/David Maynor from Errata Security told //Infosecurity
magazine
<http://erratasec.blogspot.co.uk/2012/08/new-java-0day.html>//, that
he has tested the metasploit latest version with this java exploit and
found the results are very positive. “I have tested the following
operating systems: //*Windows7, Ubuntu 12.04, OSX 10.8.1.*//I have
tested the following browsers: //*Firefox 14.0.1 (Windows, Linux,
OSX), IE 9, Safari 6*//. The same exploit worked on all of them.”/
Des analyses faites par divers spécialistes et publiés sur Internet
concernant l'implémentation _libre_ de Java (OpenJDK notamment) semblent
démontrer que le bug affectait _également_ l'implémentation OpenJDK de
Java au début 2012, mais (et c'est là que c'est important):
1°) Ce bug a été corrigé dès août 2012 dans cette implémentation (OpenJDK)
2°) L'exploitation de ce bug n'a pu réussir sur Firefox/Linux à cause de
la bonne conception du mécanisme de plugins des navigateurs (IcedTea ?)
3°) Comme c'est cette implémentation de Java qui est majoritairement
utilisée sur la plate-forme Linux (RedHat, Debian, Ubuntu, ...), le
système d'exploitation Linux est resté du côté safe
4°) Des mises-à-jour du navigateur Firefox sur Linux ont désactivé par
défaut les plugins Java de Oracle là où il y en avait, dès 2012.
Bref, nous avons ici un splendide exemple, une fois de plus, de la
nocivité des logiciels propriétaires, puisque seule l’implantation
propriétaire de Oracle pose problème.
Nous avons ici l'exemple de la réactivité de la communauté, puisque le
problème, bien que présent dans OpenJDK (personne n'est parfait) a été
corrigé dès que connu, contrairement à l'implémentation propriétaire,
qui est toujours dangereuse au moment ou nous parlons.
Nous avons également un splendide exemple de l'incompétence des médias,
puisque RTL indique ici que le problème affecte "/le plugin Java de
votre navigateur/" alors qu'il n'affecte que sa version propriétaire
faite par Oracle.
Nous avons un argument de poids pour rappeler à tous les sites utilisant
cette technologie qu'ils ne peuvent se contenter d'être compatibles avec
/l'implémentation Oracle/ de Java, mais bien avec _le standard Java_.
Nous avons une illustration du désarroi de tous les propriétaires de
tablettes, téléphones portables, ... propriétaires (iPhones, Galaxy,
...) qui ne peuvent _rien faire_ concernant cette situation dès lors
qu'ils n'ont aucun accès au système d'exploitation de leurs appareils,
bien qu'ils les aient payés.
Nous avons enfin un bel exemple de plus qu'il est malsain de faire
tourner un logiciel propriétaire, fusse-t-il un simple "plugin", même si
tout le reste de l'image logicielle de l'ordinateur est intégralement libre.
Ce cas ne fait que s'ajouter à celui du plugin Flash, bien connu
également pour ses failles de sécurité, et qui par son caractère
propriétaire ne peut être corrigé qu'à condition de supplier (ou de
payer) son éditeur ou de s'en passer. Les plus anciens se rappelleront
aussi des problèmes de sécurité imposés par Internet Explorer avec (ou
même sans) ActiveX...
Idem concernant les fabricants de matériels (imprimantes, cartes
graphiques, GPS, téléphones portables, ...) qui imposent l'usage de
pilotes et/ou de logiciels propriétaires pour pouvoir accéder à toutes
les fonctionnalités de ces accessoires pourtant dûment _payés_ par leurs
propriétaires. Inutile d'insister sur le fait que les spécifications des
interfaces de ces produits devraient être une précondition à toute mise
sur le marché...
Idem enfin pour les États qui imposent des formulaires (PDF, Ms-Word,
...) en formats propriétaires ou dans des versions non libres de ces
formats, imposant les citoyens de devoir prendre des risques de sécurité
du fait de l'usage de logiciels propriétaires au lieu de transmettre ces
informations en formats ouverts, libres, publiés et interopérables, tel
OpenDocument.
Bref, ces pratiques (usage massif de logiciels obscurs et propriétaires)
sur Internet constituent un _danger_ pour l'usager et l'Internet en
général, donc la sécurité de nos sociétés, tant l'Internet est devenu
_critique_ pour bien des activités. Je pense qu'il serait judicieux que
nous faisions à ce sujet un _communiqué de presse_ conjoint LiLux/ISOC
appelant à ce que les responsables politiques favorisent les bonnes
pratiques qui consistent à utiliser des logiciels ouverts, dont le code
source est publié, à favoriser l'interopérabilité et l'hétérogénéité des
implémentations (et non la monoculture, propice aux épidémies), et à
favoriser le système d'exploitation GNU/Linux, plus sûr par design et du
fait de son caractère libre, qui permet a des millions de programmeurs
de relire et de corriger les éventuelles bourdes de leurs collègues.
Qu'en pensez-vous ?