Pas une semaine sans l'annonce d'une nouvelle cyberattaque: Apple, Facebook ou Twitter en ont ainsi été victimes ces dernières semaines. Points communs de ces attaques? L'utilisation de failles de sécurité de composants Java (propriété d'Oracle) donnant aux cybercriminels un accès au navigateur de la victime. Autre sujet d'inquiétude: des experts ont montré la vulnérabilité de Java lors de votes par Internet permettant de modifier les bulletins de votes.
Après Facebook et Twitter, c'est Apple, pourtant réputé pour la protection de ses systèmes, qui fut victime fin février d'une nouvelle cyberattaque. Le processus employé est globalement toujours le même: une faille trouvée dans Java a permis aux pirates de pénétrer les ordinateurs portables d'employés de la firme de Cupertino et de rediriger leur navigateur vers une page piégée. Largement relayée par les médias, cette succession d'attaques d'ampleur liée aux failles de Java a amené les sociétés d'antivirus et la presse spécialisée à recommander la désinstallation de Java: "Il est impératif de désactiver le composant Java immédiatement ! Une faille dite zero day Java vient (encore une fois) d'être découverte", recommandait par exemple Futura Science en début d'année.
Même le département de la Sécurité intérieure des États-Unis, d'ordinaire peu avare en recommandations pouvant avoir un impact négatif sur une entreprise américaine, a émis une note allant dans ce sens: selon le CERT, "à moins que cela soit absolument nécessaire d'exécuter Java dans les navigateurs Web, désactivez-le". La maison mère de Java, Oracle, a beau avoir publié toute une série de correctifs à sa solution, chaque nouvelle version semble amener son nouveau lot de failles... Pour preuve la découverte fin février par une firme polonaise spécialisée en sécurité informatique, Security Explorations, de deux nouvelles failles de sécurité sur un environnement à jour Java.
Aussi inquiétant, mais moins connu: les failles de Java pourraient impacter la sécurisation du vote sur Internet. En principe, le vote électronique doit permettre, selon le Conseil constitutionnel français, de résoudre "les difficultés à composer les bureaux de vote et à trouver des scrutateurs bénévoles acceptant de participer au dépouillement", sans compter les économies substantielles qu'il pourrait réaliser et les gains écologiques (pas de transport, ni de bulletin papier de vote ...). Mais l'essai du vote par Internet lors des dernières élections législatives en France a été fragilisé par l'incompatibilité de java 1.6 révélée par le Huff Post: "le vote se révèle impossible pour tous les internautes dont l'ordinateur est équipé de la dernière version du langage de programmation Java, langage qui équipe plus de 800 millions de PC à travers le monde, selon son fabricant". Une élue du parti socialiste, Axelle Lemaire, s'était même chargée de faire l'écho des problèmes de sécurité liés aux composants Java. Le Parti Pirate avait même alerté le Conseil constitutionnel en mentionnant le fait que "les certificats fournis ne forment pas une chaîne de certificats" et que les problèmes de compatibilité de la plateforme de vote proviennent des versions récentes de Java.
En clair, la dernière version 7 de Java était incompatible avec le vote: les électeurs devaient downgrader une ancienne version de Java leur permettant de voter ... : un comble quand on connaît les failles de sécurité des versions précédentes. Même la très officielle page d'assistance du ministère s'en est allée de son conseil en prônant de "désactiver son antivirus" afin de faire tourner le code Java, nécessaire au chiffrement du bulletin de vote. Désactivation de l'antivirus, applets Java pas à jour et peu sécurisés... : une belle usine à gaz qui a amené José Garson, candidats des circonscriptions à l'étranger, à saisir le Conseil d'État pour l'annulation du scrutin. Un informaticien nantais, Laurent Grégoire, avait démontré lors des élections législatives de juin 2012 qu'une simple modification de l'applet Java permettait de modifier à leur insu les bulletins de vote des électeurs. Il avait alerté le Conseil Constitutionnel qui avait reconnu les anomalies existantes. Le rapport du conseil était clair sur le sujet, indiquant "la présence d'un vote ne correspondant pas aux paramètres retenus par le système..."
Dès lors une question se pose: est-il possible de se passer de Java lors d'un vote électronique? Une majorité des prestataires de vote par Internet impose l'usage de Java pour assurer le chiffrement des bulletins de vote via des programmes "applets" ou de programmes inspirés du langage Java (comme "Javascript") qui sont téléchargés sur le poste Internet du votant. Or c'est ce même poste (l'ordinateur de l'électeur) qui est particulièrement peu sécurisé et devient ainsi la cible de modifications malveillantes, car il correspond au seul maillon de la chaîne dont les spécialistes en sécurité informatique n'ont pas accès. Faire reposer le chiffrement des bulletins via des applets Java sur les postes des électeurs ouvre la voie à toute sorte de piratage et ne paraît pas être dans ce contexte une solution satisfaisante permettant de sécuriser les bulletins de vote. Être contraint d'utiliser une technologie étrangère lorsqu'il est démontré qu'elle apporte un réel gain peut se justifier : dans le cas d'une élection française, l'utilisation de technologie américaine comme Java et Javascript dont les failles de sécurité sont bien connues ne l'est en aucun point.
Dans un environnement ou la cybersécurité devient une préoccupation croissante, quand le New York Times, Twitter, Facebook et Apple ont été hackés à partir de vulnérabilités java, la question se pose de l'utilisation de Java pour les particuliers. HD Moore, chief security officer de la société de cybersécurité Rapid7, notait ainsi en janvier 2013 : "La chose la plus sûre à ce stade est de considérer que Java restera toujours vulnérable. Les gens n'ont pas réellement besoin de Java sur leur poste de travail."
VOIR AUSSI Cybercrimes: les 20 villes les plus à risque au Canada
