La mise à jour de Java SE Development Kit 7 en version 10 (JDK 7u10) permet désormais d'utiliser le panneau de contrôle pour empêcher les applications Java de tourner dans les navigateurs Internet. Certaines vulnérabilités de Java sont une cible de premier ordre pour les cybercriminels qui veulent infecter les ordinateurs avec des logiciels malveillants. Les pirates savent en effet que la plupart des utilisateurs ne mettent pas à jour le plug-in Java de leurs navigateurs Internet, ce qui leur permet de continuer à exploiter d'anciennes vulnérabilités. Et, leur chance de réussir leurs attaques est élevée. Selon le département de recherche sur la sécurité de HP, en 2011, un exploit intégré dans la boîte à outils Blackhole, favorite des hackers, avait un taux de réussite de 80 %. Autre amélioration dans le JDK 7u10, le panneau de contrôle permet de choisir parmi quatre niveaux de sécurité pour les applets non signés, les applications Java Web Start et les applications JavaFX qui s'exécutent dans un navigateur. Par ailleurs, Oracle a ajouté une boîte de dialogue qui prévient les utilisateurs lorsque le plug-in Java doit être mis à jour afin d'éviter les exploits. Les experts se félicitent de ces améliorations, mais « ce n'est qu'un début », ont-ils déclaré. «Nonobstant ces nouvelles fonctionnalités, Oracle a encore beaucoup de travail à faire en matière de sécurité», a déclaré Andrew Storms, directeur des opérations de sécurité chez nCircle.

Mieux intégrer les nouveaux paramètres

« Certes, aujourd'hui les utilisateurs ne se préoccupent pas de mettre à jour Java et il y a peu de chance qu'ils prennent le temps d'apprendre comment utiliser le panneau de contrôle », disent les experts. Mais, comme le fait remarquer Andrew Storm, les grosses entreprises, qui emploient une équipe de sécurité informatique à temps plein, ne trouveront les nouveaux paramètres utiles que s'ils peuvent les gérer depuis Microsoft Active Directory ou d'autres serveurs d'annuaire ». Selon l'analyste, « sans cet accès, les nouveaux paramètres sont totalement inutiles en environnement d'entreprise ».

Pour Paul A. Henry, analyste en sécurité et expert en informatique judiciaire chez Lumension, « Java a besoin d'améliorations plus importantes. Il faudrait notamment que l'éditeur fasse du fuzz-testing sur le code de base de la plate-forme ». Les tests de  fuzzing servent à débusquer les erreurs de codage et les failles de sécurité. Wolfgang Kandek, CTO de Qualys, suggère à Oracle d'ajouter une fonction de balcklisting d'URL que les administrateurs pourraient utiliser pour décider quels applets Java, utilisés par les pirates pour exploiter les failles, peuvent tourner dans le navigateur..

Accélérer les sorties des mises à jour

« Il faudrait aussi qu'Oracle livre ses correctifs plus rapidement, en particulier quand une vulnérabilité, jusque-là inconnue, est découverte », estime pour sa part HD Moore, CTO de Rapid7. Oracle livre ses correctifs sur une base trimestrielle, alors que Microsoft et Adobe fournissent des mises à jour de sécurité mensuelles. « Le cycle trimestriel adopté par Oracle pour les correctifs est en contradiction avec le calendrier d'autres éditeurs comme Adobe qui livrent des add-ons à haut-risque pour les navigateurs, », a déclaré HD Moore au magazine CSO Online.

Andrew Storm trouve aussi qu'Oracle a mis du temps à réparer ses failles. Il estime également que l'éditeur doit fournir à l'industrie de la sécurité davantage de détails sur les vulnérabilités et les correctifs. « En 2012, Oracle ne s'est pas donné beaucoup de mal pour résoudre les questions de sécurité relatives à Java et il n'y a aucune raison de penser qu'ils vont changer leur approche en 2013 », a-t-il déclaré. Depuis l'acquisition de Sun Microsystems en 2010, Oracle est le gestionnaire de Java.