Close Menu

    Le Web devient plus sécurisé : Google abandonne le support de Java

    Louise GoossensBy 6 Mins Read Technologies
    google-no-java
    partners

    Le Web devient plus sécurisé : Google abandonne le support de Java


    Lorsque Java a été rendu public pour la première fois en 1995, il était révolutionnaire.

    Les développeurs peuvent écrire du code une seule fois et (en théorie) l’exécuter sur n’importe quel ordinateur de leur choix sans apporter de modifications. C’était et c’est toujours très rapide. Cette vitesse a conduit à son utilisation dans des environnements sensibles au facteur temps, tels que les algorithmes de trading à haute fréquence à Wall Street.

    Java était aussi incroyablement en avance sur son temps. Dès sa première version, les développeurs peuvent l’utiliser comme un outil pour intégrer une logique de type application Web dans les pages Web. Celles-ci sont appelées applets Java car le code s’exécute dans un processus distinct en dehors du navigateur Web, et elles sont idéales pour les tâches à haute intensité telles que les jeux, les visualisations et les simulations.

    Mais c’était alors, et c’est maintenant.

    Il est prudent de dire que Java – en particulier dans les navigateurs – a perdu de son éclat. Une grande partie de cela est pour des raisons de sécurité. La prochaine version de Google Chrome (version 45, prévue pour décembre) a complètement abandonné son support.

    Java est-il vraiment dangereux ?

    Lorsque vous écrivez sur Java, en particulier du point de vue de la sécurité, il est important de faire la distinction entre l’environnement d’exécution Java (JRE) et le plug-in de navigateur Java.

    L’environnement d’exécution Java (y compris la machine virtuelle Java et certaines bibliothèques de logiciels) est souvent accusé d’être non sécurisé, mais ce n’est pas nécessairement vrai. Malgré ses graves vulnérabilités zero-day, le JRE est en grande partie un logiciel bien conçu et sécurisé. Il exécute des applications dans un environnement « sandbox » où les dommages potentiels causés par les logiciels sont limités. Si le programme souhaite effectuer des actions en dehors de la « sandbox », l’utilisateur en est averti et doit les approuver.

    Faire une vidéo du jour

    Mais dans le navigateur, c’est un poisson légèrement différent. Les plug-ins de navigateur Java sont des logiciels notoirement non sécurisés. Selon Kaspersky, il était responsable de près de 50 % des cyberattaques en 2012.

    Mais c’est parce que, paradoxalement, le plug-in de navigateur Java est défectueux par sa conception. Les applets Java ne sont pas du tout en bac à sable comme elles devraient l’être, elles exécutent aveuglément sans aucun doute tout code signé avec une signature cryptographique.

    En termes simples, si vous avez un logiciel malveillant et que vous voulez vous assurer qu’il peut s’exécuter sans scrupule sur n’importe quel ordinateur sans aucune interférence, il vous suffit de le signer de manière cryptographique. c’est trop effrayant.

    Bien sûr, cela n’aide pas que la plupart des gens exécutent une version non sécurisée de Java, grâce à son processus de mise à niveau exaspérant et perturbateur. Selon le rapport Java Under Attack 2012-2013 de Kaspersky, entre 55 % et 37 % utilisent une version plus ancienne (et vulnérable) de Java.

    Paradoxalement, Oracle (et anciennement Sun Microsystems) n’encourage guère les gens à installer la dernière version de Java, en profitant pour forcer sournoisement l’installation de la barre d’outils Ask (qui peut être facilement supprimée), ou changer leur navigateur par défaut pour Yahoo!

    Heureusement, Google fait quelque chose à ce sujet. Après septembre, ils interrompront la prise en charge de NPAPI (Netscape Platform API) dans Google Chrome, ce qui désactivera efficacement l’exécution des applets Java. Il interrompra également la prise en charge des anciennes versions d’Adobe Flash (qui a ses propres problèmes de sécurité), de Silverlight (que personne n’utilise), des plugins Unity et Facebook.

    Il y a des rumeurs selon lesquelles Firefox rejoindra bientôt Chome pour déprécier NPAPI, mais jusqu’à présent, rien n’est vraiment sorti. Bien sûr, NPAPI est toujours activé sur Internet Explorer, Opera et Safari.

    Tuez Java.le tuer avec le feu

    Java est un vecteur d’attaque intéressant et très courant permettant aux logiciels malveillants d’infecter les ordinateurs. Mais vous pouvez faire quelque chose à ce sujet. C’est simple et évident.

    Vous supprimez simplement l’intégralité de l’environnement d’exécution Java du système.

    Si vous ne l’utilisez pas, cela ne sert à rien de l’installer, et le supprimer est plus facile que vous ne le pensez. Voici comment procéder sous Linux (Ubuntu – d’autres distributions peuvent varier), Mac OS X et Windows 10.

    Supprimer Java sur Linux (Ubuntu)

    La suppression de Java sous Linux est simple et complexe. C’est simple, il vous suffit d’exécuter quelques commandes. Mais c’est aussi compliqué car il faut savoir quel runtime Java supprimer.

    Mais attendez, Vous avez plusieurs runtime Java ?

    c’est bon, ouiVous voyez, il existe une version officielle faite par Oracle – les développeurs de Java. Mais il y a aussi OpenJDK, une implémentation open source publiée sous la licence publique générale GNU – une licence logicielle permissive privilégiée par les produits open source.

    Il y a de fortes chances que vous ayez OpenJDK, mais c’est facile à vérifier. Cours vite:

    version java

    Ensuite, il suffit d’utiliser le gestionnaire de packages pour supprimer les packages concernés.

    sudo apt-get suppression automatique openjdk-jre-7

    Si vous utilisez une ancienne version d’OpenJDK, modifiez le numéro de version (openjdk-jre-) pour lui correspondre. Si vous utilisez Oracle JDK, exécutez :

    sudo apt-get supprimer oracle-java7-installer

    Supprimer Java sur Mac OS X

    Ces instructions concernent Yosemite, la dernière version d’OS X. Supprimer Java ici est en fait assez simple. Tout ce dont vous avez besoin est un accès root et un peu de confiance dans la ligne de commande.

    Ouvrez un terminal et exécutez les commandes suivantes :

    sudo rm -rf /Bibliothèque/Internet Plug-Ins/JavaAppletPlugin.plugin/

    sudo rm -rf /Bibliothèque/PreferencePanes/JavaControlPanel.prefPane

    applaudir! Vous avez supprimé le JRE sur la machine.

    Supprimer Java sur Windows 10

    Pour supprimer Java sur Windows 10, ouvrez simplement le menu Démarrer et recherchez Java.puis faites un clic droit dessus et cliquez Désinstaller. N’ayez pas peur si vous avez plusieurs projets Java dans le nom.

    C’est si simple. Mais il existe également une application Oracle officielle qui automatise le processus de suppression de Java.

    Si vous utilisez Windows 7, vous voudrez peut-être consulter cet article de l’ancien MUO-er Chris Hoffman, qui explique en détail comment désactiver et supprimer Java de votre PC.

    Allons-y, Java !

    L’époque des applets Java est révolue depuis longtemps. Débarrassez-vous des bagages.

    Ils sont lents, peu sûrs et, franchement, une meilleure technologie les a remplacés. HTML5, surtout Canvas, n’est pas sans rappeler. Google devrait être applaudi pour avoir finalement arrêté leur prise en charge dans Windows 10.

    Bien sûr, la seule façon d’être vraiment en sécurité est de l’enlever complètement.

    Donc, dans cet esprit, y a-t-il une vraie raison d’installer Java sur votre ordinateur ? Je ne pense pas, mais qu’en pensez-vous ? Des idées? Je veux entendre ce qu’ils ont à dire. Laissez vos commentaires dans la case ci-dessous et nous discuterons.

    Crédit image : Gil C/Shutterstock.com, WetWebwork via Flickr

    A propos de l’auteur

    Share.

    Related Posts

    Add A Comment
    Leave A Reply