Sécurité

Le plugin du navigateur Java sera abandonné. Bien !

Dans un communiqué court mais surprenant, Oracle a annoncé cette semaine une décision que de nombreux administrateurs système et experts en sécurité espéraient depuis longtemps : le plugin de navigateur Java sera finalement abandonné. C’est vraiment une nouvelle à célébrer.

Java, en tant que langage de programmation et plate-forme, a été créé en 1995 par Sun Microsystems, une société qui a été absorbée par Oracle en 2009. C’était un geste très important : Java a apporté des avancées si pertinentes qu’il est rapidement devenu l’une des technologies préférées pour le développement d’applications de types et de tailles variés.

C’est dans ce contexte que s’inscrit le plugin Java. Les banques, les agences gouvernementales, les établissements d’enseignement, les plateformes de jeux et les entreprises de divers secteurs l’utilisent désormais pour permettre des services en ligne qui peuvent fonctionner sur diverses plateformes.

Une telle popularité a eu un effet secondaire : avec le temps, le plugin est tombé dans la mire des personnes “bien intentionnées”, celles qui exploitent les vulnérabilités, vous savez ? En outre, les mises à jour constantes ont progressivement dégradé les performances du logiciel, qui n’a jamais été là.

  Changement de mot de passe : les comptes Nintendo sont détournés

Mais c’est vraiment le problème de sécurité qui a sapé l’image du plugin Java. Un certain nombre de facteurs y ont contribué. Pour commencer, Oracle n’a jamais été rapide à fournir des correctifs, bien qu’il ait fait des progrès considérables à cet égard au cours des deux dernières années.

De plus, les mises à jour ont fait que le plugin est devenu un logiciel plein de “patches”. Ironiquement, cela favorise l’émergence de plus de vulnérabilités. Le problème est devenu encore plus préoccupant depuis 2010, lorsque les attaques impliquant le plugin ont considérablement augmenté.

Autre point important : même lorsqu’il y a des mises à jour, beaucoup de gens arrêtent de les installer. Une solution serait un mode de mise à jour automatique qui fonctionne en arrière-plan, sans intervention de l’utilisateur, mais cette proposition comporte plusieurs obstacles. Le principal est le risque qu’une mise à jour automatique paralyse simplement une application parce qu’elle n’a pas été testée sur celle-ci auparavant.

Voici la conséquence : le plugin Java est devenu un cauchemar pour les utilisateurs et surtout pour les professionnels de la sécurité qui doivent “désarmer la bombe”. La situation a atteint un tel point critique que la recommandation est devenue celle-ci : si vous n’utilisez aucun service qui dépend du plugin, ne l’installez tout simplement pas. Parmi ceux qui ont besoin du plugin et qui en connaissent les risques, il y a ceux qui préfèrent exécuter l’application sur des machines virtuelles.

  Google Chrome 81 apporte des améliorations dans les notifications et le support NFC

Pour nous, simples mortels, il existe un autre inconvénient : chaque fois que Java est installé ou mis à jour, nous devons faire attention à ne pas laisser la case qui s’installe à côté d’une barre de recherche dans les navigateurs marqués. Y a-t-il quelque chose de plus ennuyeux ?

Il arrive un moment où vous ne pouvez plus pousser la situation avec votre ventre. Comme Flash, le plugin Java est devenu un problème de sécurité chronique, ce qui a conduit des organisations comme Google et Mozilla à prendre des mesures radicales : l’année dernière, le premier a décidé de désactiver les plugins de type NPAPI (comme Java) dans Chrome ; quelques mois plus tard, le second a annoncé la même mesure pour Firefox. Edge, de Microsoft, n’était même pas livré avec le support du plugin Java.

Lorsque les géants de l’industrie adoptent des mesures de ce type, le marché comprend qu’il est temps de changer de technologie. La décision d’Oracle en est le reflet.

  Android atteint 850 000 activations quotidiennes

C’est juste que ce changement ne se fera pas du jour au lendemain. Afin de laisser le temps au marché de s’adapter pleinement, le plugin ne sera interrompu qu’avec la sortie de la version 9 du kit de développement Java, dont la version finale est prévue pour le 23 mars 2017. Oracle suggère plutôt l’utilisation de technologies telles que Java Web Start (des instructions à ce sujet figurent dans ce PDF).

Comme vous pouvez le voir, le plugin a plusieurs mois de vie devant lui. Il y a suffisamment de temps pour que la migration se fasse dans les banques et les institutions publiques, par exemple ? apparemment, les organisations que la plupart utilisent le plugin Java, du moins en France.

Il convient de souligner que la mort du plugin ne signifie pas la fin de Java dans son ensemble. L’écosystème linguistique continue d’être promu et soutenu par Oracle. Il en sera ainsi pendant longtemps encore.

A propos de l'auteur

Bernard

Actuellement responsable informatique dans une PME, je bosse dans le domaine depuis une vingtaine d'année maintenant. Fan inconditionnel de DBZ, et de la triologie Die Hard. #teamWindows sur Perlmol !

Laisser un commentaire