Tim Rains, directeur de l'activité Microsoft Trustworthy Computing, a déclaré que la moitié de l'ensemble des attaques détectées et bloquées par les logiciels de sécurité Microsoft sur une période de 12 mois sont liées à Java. Au total, Microsoft a arrêté plus de 27 millions d'attaques utilisant Java de mi-2010 jusqu'à la mi-2011. La plupart d'entre elles utilisent des failles corrigées il y longtemps, précise Tim Rains. Ainsi 2,5 millions d'attaques ont été interceptées au 1er semestre 2011, elles utilisaient un bug publié en mars 2010 qu'Oracle avait corrigé le même mois. En deuxième position, on retrouve une vulnérabilité trouvée et patchée en décembre 2008. L'étude vient confirmer le phénomène de « vague sans précédent » d'attaques Java, souligné par la firme de Redmond en octobre 2010.

Les résultats de Microsoft n'ont pas été une surprise pour les chercheurs en sécurité. Pour Wolfgang Kandek, directeur technique de Qualys, « la plupart des machines sous Windows n'ont pas mis à jour le logiciel Java » et d'ajouter « il y a un retard sérieux. 84% des équipements n'ont pas installé la mise à jour de juin 2011, 81% celle du mois de février et 60% celle de mars 2010 ». Qualys ne dispose pas de visibilité sur le taux d'installation des correctifs d'octobre 2011, mais Wolfgang Kandek estime que ce ratio devrait atteindre 90% des PC. Le spécialiste de la sécurité pointe du doigt la problématique dans les entreprises de disposer d'anciennes versions Java pour faire tourner des applications internes. Qualys préconise alors d'utiliser Java en dehors du réseau.

Un tueur silencieux


Pour Andrew Storms, directeur des opérations de sécurité nCircle, « l'omniprésence de Java est une explication pour le volume élevé d'attaques exploitant ses bogues », mais il cite également l'invisibilité pour les utilisateurs du logiciel. « Java n'est pas quelque chose avec lequel les utilisateurs interagissent comme Flash ou Reader d'Adobe qui sont des éléments silencieux, mais sont devenus des cibles », note Andrew Storms et de conclure « ils sont devenus des tueurs silencieux ».

Enfin, un journaliste au Washington Post, Brian Krebs constate sur son blog que les cyber-criminels ont une longueur d'avance en proposant des kits d'attaques utilisant des failles récemment corrigées. Le journaliste prend une position assez radicale en déclarant ceux qui n'ont pas besoin de Java, supprimez le de votre poste. Microsoft de son côté se contente d'exhorter les utilisateurs de mettre à jour leur machine.