L'éditeur Trend Micro a repéré un morceau de logiciel malveillant qui se fait passer pour le dernier patch pour Java  comblant la vulnérabilité CVE-2013-0422, une manoeuvre typiquement opportuniste initiée par des pirates informatiques. Dernièrement, Oracle a publié en urgence deux correctifs (7u11) pour son langage de programmation Java et sa plate-forme d'applications, qui sont utilisés sur des millions d'ordinateurs dans le monde.

La dernière version de Java est la mise à jour 11. Trend Micro indique sur son blog qu'il a été alerté par une fausse mise à jour « Java Update 11 » présente sur au moins un site. Si un utilisateur installe cette mise à jour factice, un programme de type backdoor est téléchargé et installé à son insu sur son PC. « Une fois exécuté, ce backdoor se connecte à un serveur distant qui permet à un attaquant de prendre le contrôle possible du système infecté», écrit Paul Pajares, un analyste spécialisé dans les fraudes chez Trend Micro.

Une vieille ficelle d'ingénierie sociale


Les pirates dissimulent souvent leurs logiciels malveillants sous la forme de mises à jour logicielles dans l'espoir de confondre les techniciens assurant la maintenance informatique dans les entreprises. Il est intéressant dans ce cas de voir que cette mise à jour n'exploite pas réellement les dernières vulnérabilités Oracle, corrigées dimanche dernier, écrit M. Pajares. L'utilisateur est ici poussé à télécharger un logiciel malveillant. « L'utilisation de fausses mises à jour logicielles est une vieille tactique d'ingénierie sociale», écrit encore le spécialiste. « Ce n'est pas la première fois que les cybercriminels profitent de mises à jour logicielles. » Paul Pajares conseille aux utilisateurs de télécharger les mises à jour uniquement sur le site web d'Oracle. Trend Micro, avec d'autres experts et entreprises de sécurité informatique, conseille généralement aux utilisateurs de désinstaller Java, si la plate-forme n'est pas nécessaire, ce qui permet d'éliminer l'exposition aux risques de failles logicielles.

Les utilisateurs peuvent également choisir de garder Java sur leur ordinateur, mais le désactiver le plug-in Java dans leurs navigateurs web, qui sont la porte d'entrée utilisée par les hackers pour exploiter les failles Java. Les deux vulnérabilités patchées par Oracle dimanche dernier pouvaient être exploitées par une personne malveillante à l'aide d'une « applet », une application Java téléchargée à partir d'un autre serveur. Les applets sont souvent intégrées dans des pages web et s'exécutent dans le navigateur.

Le journaliste spécialiste en sécurité Brian Krebs a écrit mercredi dernier que, sur un forum underground, un hacker proposait ses services - moyennant 5 000 $- pour exploiter cette faille Java zero-day Java. L'annonce a été affichée pour une courte période, puis a disparu, a précisé Brian Krebs.