Mac OS X : la faille Java qui faisait de la résistance

Le quart-d'heure américain

Le monde de la sécurité est en ébullition depuis quelques jours à cause d’une faille de l’environnement Java. Cette faille est vieille, et elle a en fait été résolue et colmatée depuis l’année dernière. C’est du moins le cas sur toutes les plateformes, sauf sur une seule : Mac OS X.

Doucement, c'est urgent

Très critiqué, Apple ne marque certes pas des points actuellement. Pointée du doigt par plusieurs experts en sécurité, la firme de Cupertino pèche par son manque de réactivité sur une faille nommée par certains « le Saint Graal des failles côté client ». Julien Tinnes, qui avait participé au concours Pwn2own (pirater des ordinateurs pour les gagner), a ainsi testé la faille sur Firefox, Internet Explorer 6 à 8 et Safari sous Windows, Linux et OpenBSD (quand le cas s’applique) : elle a toujours fonctionné.

Le fait est que la faille ne concerne que Java : peu importe le navigateur ou le système d’exploitation, elle ne peut qu’ouvrir la porte à un pirate qui sait l’exploiter. La dangerosité de la faille est renforcée par le fait qu’elle est corrigée maintenant depuis longtemps et qu’elle est donc connue. Et il suffit de constater : non seulement la faille a été corrigée par Sun vers la fin de l’année dernière, mais elle était déjà âgée de 122 jours lorsque la firme s’en est occupée.

Le côté obscur frappe déjà

Quand l’Update 11 de Java 6 est sorti, la correction s’est rapidement répercutée dans toutes les directions. Sous Mac OS X cependant, c’est Apple qui se charge de l’intégration de l’environnement. Du coup, les corrections de bugs et de failles transitent également par Cupertino. Il suffit pour une raison quelconque qu’Apple ne fasse pas ce travail, comme c’est le cas actuellement, pour que les utilisateurs soient exposés au risque. Cela se passait exactement de la même manière quand Microsoft s’occupait de Java pour Windows.

Dans la pratique, il n’y a pas de solution pour empêcher la faille de fonctionner si elle est exploitée en dehors de la désactivation de Java dans Mac OS X. et il vaut finalement mieux que cela soit fait, parce que les évènements risquent de s’accélérer. Devant l’inaction d’Apple, un chercheur en sécurité a publié le code pouvant conduire à une attaque en règle. Certes le code en question ne fait apparaître qu’un message du type indiquant que la faille a bien été exploitée, mais il peut facilement être adapté à d’autres utilisations.

Landon Fuller a agi par colère : « Il semble malheureusement qu’un grand nombre de failles de sécurité de Mac OS X ne soient corrigées que si la sévérité de la faille est correctement démontrée ». Et, pour le coup, nous sommes avertis : il suffit de visiter une simple page Web contenant un code malveillant pour déclencher la faille. Difficile de faire plus simple.