« Oracle envisage de supprimer le plug-in Java du futur JDK 9 », a annoncé le Java Platform Group ce mercredi sur un blog, qui précise que « la technologie sera retirée du JDK et du JRE d’Oracle dans une future version de Java SE ». Le JDK 9 (Java Development Kit), implémentation de référence de la prochaine version de Java SE, devrait être disponible partout en mars 2017. Mais, d'ici là, la plupart des navigateurs modernes ne seront plus compatibles avec le plug-in d’Oracle. En octobre, Mozilla a annoncé que, d’ici fin 2016, son navigateur Firefox ne supporterait probablement plus les plug-ins Java.

Et, depuis le mois de septembre, le navigateur Chrome bloque déjà des plug-ins comme Java et Silverlight qui utilisent l’ancien protocole Netscape Plugin Application Programming Interface (NPAPI). Enfin, le navigateur Edge de Microsoft ne supporte pas ces plug-ins. Après 2016, seuls les navigateurs Internet Explorer et Safari accepteront encore des plug-ins au standard NPAPI. Mais Oracle a été un peu obligé de prendre cette décision, même si Chrome supportera également la nouvelle technologie de plug-in appelée PPAPI (Pepper Plug-in API).

Des applications Java Web Start pour pallier aux plug-ins

« Oracle ne fournira plus de plug-ins spécifiques pour les navigateurs Internet qui obligent les développeurs d'applications à écrire des applets spécifiques pour chaque navigateur qu'ils souhaitent supporter », a justifié l’éditeur dans un livre blanc où il propose différentes options de migration aux développeurs. « En outre, sans API multi-navigateur, Oracle ne pourrait pas offrir toute la fonctionnalité requise, différente d'un navigateur à l'autre, ce qui ne rendrait service ni aux développeurs d'applications ni aux utilisateurs ».

Comme principale alternative, l’éditeur suggère de remplacer les applications Java Applets par des applications Java Web Start. Ce type d'applications peut être lancé à partir du Web sans plug-in. Sauf que, sur le plan de la sécurité, les applications Java Web Start peuvent également être utilisées comme vecteur d'attaque pour exploiter des vulnérabilités dans le runtime Java. Exactement comme pour les applets.

Java 6 et 7 encore utilisés dans les entreprises

Par ailleurs, la mise à la retraite du plug-in Java ne signe pas sa totale disparition. De nombreux utilisateurs continueront probablement à installer les anciennes versions du plug-in sur leurs ordinateurs, notamment dans les environnements professionnels où l’on utilise beaucoup d’applications Java sur mesures basées sur le Web, difficiles à remplacer ou à réécrire. Aujourd’hui déjà, pour des raisons de compatibilité, un grand nombre d'ordinateurs d’entreprise continuent à utiliser Java 6 ou Java 7, alors même que ces versions ne bénéficient plus de mises à jour de sécurité.