Microsoft-Java-attaques C'est une information que Microsoft n'avait pas spécialement mise en avant lors de la présentation de son dernier rapport de sécurité, et il est assez surprenant de voir aujourd'hui la firme de Redmond mettre l'accent dessus.

Selon le Microsoft Malware Protection Center, Java est confronté à une " vague sans précédent d'exploits ". Et pour mieux préciser les choses, Microsoft note que depuis le début de l'année, le nombre d'exploits Java a dépassé le nombre total d'exploits liés à Adobe ( documents PDF ). Microsoft souligne parler d'attaques sur du code Java vulnérable et non d'attaques utilisant JavaScript.

Au troisième trimestre, un pic a été atteint avec plus de 6 millions d'attaques contre Java. L'explosion du nombre d'attaques a réellement débuté à partir du milieu du deuxième trimestre, alors que Microsoft n'avait constaté que 500 000 attaques. Le pic du troisième trimestre 2010 est principalement la cause de l'exploitation de trois vulnérabilités à ce jour toutes corrigées et répertoriées dans la base de données CVE ( CVE-2008-5353, CVE-2009-3867, CVE-2010-0094 ).

Plus de 3,5 millions des attaques ont ainsi essayé d'exploiter une faille dans Java Runtime Environment qui a pourtant été comblée en décembre 2008. De même pour plus de 2,6 millions d'attaques à l'encontre de Java et JRE via une faille comblée en décembre 2009.


Ouvrir les yeux ou attaquer Oracle ?
On notera bien qu'il s'agit d'attaques, et cela ne signifie pas pour autant qu'elles ont été couronnées de succès. Le propos de Microsoft semble plus d'éveiller les consciences sur les attaques à l'encontre d'une technologie omniprésente et que les utilisateurs ne pensent peut être pas à mettre à jour :

" Java est une technologie qui s'exécute en tâche de fond pour faire fonctionner des éléments plus visibles. Comment savez-vous si vous avez installé Java ou s'il s'exécute ? […] Maintenant que vos yeux sont ouverts, il est temps pour vous de commencer à réexaminer une technologie omniprésente que les attaquants ont prouvé qu'ils peuvent exploiter. "

La semaine dernière, Oracle a publié plusieurs correctifs afin de combler 85 failles, dont près d'une trentaine pour Java.

Difficile de comprendre pourquoi Microsoft souhaite ainsi nous ouvrir les yeux, à moins de penser qu'il ne s'agisse d'une petite attaque déguisée à l'encontre de son concurrent Oracle, et d'une confrontation entre .Net et Java, en tout cas sous environnement Windows.