Et si on en finissait avec Java et Flash

Christophe Laporte |
Aucun ordinateur n’est invulnérable. C’est la leçon que l’on peut tirer finalement de l’attaque qu’a connue Apple récemment (lire : Sécurité : Apple victime de sa première attaque d'envergure). Plus que jamais, on insistera sur l’importance d’avoir un ordinateur à jour. D’autre part, Mac à jour ou pas, le plus grand danger pour votre ordinateur vient sans doute de “l’objet vivant” situé entre la chaise et l’écran.

Pour être tranquille, on vous suggérera également de penser à en venir à des méthodes radicales à savoir, vivre sans Flash ni Java. Ces deux technologies sont sans doute les plus utilisées pour prendre à défaut votre navigateur.

Si l’on a beaucoup parlé de Java, Flash n’est pas en reste. Le 7 février, Adobe a reconnu qu’une faille récente était exploitée dans Flash afin de piéger spécifiquement les utilisateurs sous Mac.

Bref, comment faire sans ? Si vous voulez faire un bref test, le mieux est d’aller dans les préférences de Safari, dans l’option Sécurité et de décocher “Activer Java” et “Activer les modules externes”. C’est encore la chose la plus simple à faire.



Par rapport à Java, on rappellera que la technologie d’Oracle n’est plus installée avec OS X par défaut depuis Lion. Vous trouverez des réglages identiques dans Chrome (Préférences -> Paramètres avancées -> Paramètres du contenu -> puis sélectionnez dans Plug-ins, Désactiver les plug-ins individuels, vous n’aurez plus qu’à décocher Flash et Java) ainsi que dans Firefox (menu Outils -> Modules complémentaires -> Plugins -> puis désactivez les modules concernés).

Pour supprimer définitivement ces plug-ins, il faut aller dans le dossier “Bibliothèque” à la racine du disque dur (pas celui de votre dossier utilisateur) puis dans “Internet Plug-Ins” et mettre à la corbeille les fichiers “JavaAppletPlugin”, “Flash Player.plugin” et “flashplayer.xpt”. Le mot de passe administrateur de votre compte vous sera demandé.



L'un de ces fichiers "JavaAppletPlugin" n'est toutefois qu'un alias, son original se trouve dans le dossier Système > Bibliothèque > Java > Support et là faites un Ctrl + clic sur le module CoreDeploy.bundle pour afficher son contenu et allez dans Content pour trouver "JavaAppletPlugin".

Vérifiez aussi la présence dans Préférences Systèmes du panneau Java et dans son onglet Général, décochez si nécessaire la case Activer le module d'applet.

Pour ceux qui ne veulent pas se fatiguer, sachez qu’Adobe propose un désinstalleur pour Flash.
avatar mhidi | 
C'est pareil sur chrome ?
avatar pacou | 
Le problème c'est que certains sites pro utilisent java pour gèrera des signatures numériques. Sans java, pas de vote en ligne pour les élections de l'ordre des experts comptables par exemple. Peut on vivre sans? C'est trop tôt pour ça, cette failli techno étant encore trop présente.
avatar Anonyme (non vérifié) | 
Tant qu'à faire, on peut aussi vivre sans internet non ? Ou, pour se rassurer pleinement, sans ordinateurs. Que MacG puisse ainsi cautionner la paranoïa de certains me laisse pantois… À la limite proposer de remplacer Flash par une autre technologie (html5) mais virer totalement Java rendrait beaucoup de sites moins "sexy" et générerais plus de problème d'utilisation que d'apport en sécurité…
avatar hyrok | 
Et si on finissait avec l'informatique ? Car si on fait ca, on met fin une fois pour toujours aux problèmes de virus, malware et autres ! Vous dites de desinstaller flash, JAVA, mais aprés à qui sera le tour ? Votre article est un peu absurde. Je suis désolé, mais le problème n'est pas flash ou autres, mais le fait que tant qu'il y aura des logiciels, il y aura des failles et tant que l'utilisateur ne sait pas utiliser la machine, il sera vulnérable. A partir de ces postulats, ça ne sert à rien de desinstaller flash, Java et de vivre le web à moitié
avatar debione | 
Est qu'un "click to flash" nous protège des failles flash? (si justement on ne click pas dessus?)
avatar esantirulo | 
Au passage la plupart des virus provient de clés USB...
avatar Johnny B. Good | 
@ hyrok : Le problème, ce sont les modules additionnels en tout genre. Le système de plug-in est une plaie. @ mackloug : Les sites ne sont pas sexy grâce à Java. Attention à ne pas confondre Java et Javascript. S'il y a bien un mot qui ne décrit pas Java, c'est bien "sexy".
avatar jackWhite92 | 
A ma connaissance, le problème vient du fait que Java et Flash, par leurs JVM, peuvent accéder à des ressources du système. Un site web malicieux peut donc accéder à ces ressources et exploiter une faille (le JS ne peut pas accéder à ces ressources car il est exécuté par le moteur JS du navigateur). Peut-être que le problème va se régler tout seul dans le temps avec les futures fonctions HTML5 qui permettront de se passer de ces plugins ?
avatar C1rc3@0rc | 
" pacou [21/02/2013 00:39] via iGeneration pour iPad Le problème c'est que certains sites pro utilisent java pour gèrera des signatures numériques. Sans java, pas de vote en ligne pour les élections de l'ordre des experts comptables par exemple. Peut on vivre sans? C'est trop tôt pour ça, cette failli techno étant encore trop présente. " Peut on vivre sans, assurément oui! plus de 4 ans que ni flash ni java n'ont droit de passage dans mes navigateurs. De toute façon, les PC sont aujourd'hui submergés par l'iPad et l'iPhone pour les accès a internet, les webmaster migrent leur sites pour s'adapter, car sur iDevice, ni flash ni Java depuis le départ. Et cela devint la norme avec Android aussi... La certitude que l'on a aujourd'hui c'est que Flash est insecurisable, sur-consommateur de ressource, et finalement d'apporte rien a l'utilisateur (a part des pub intrusives). Et Java répond a peu pres aux meme défauts. Donc si on a pas compris l'inutilité des ses produits, et qu'il est impératif de les éliminer au plus vite, autant rester sur XP sans antivirus et naviguer avec Explorer...
avatar kyjaotkb | 
Chez Apple comme dans la plupart des grandes entreprises, pas de SAP sans Java... Et c'est encore valable pour énormément de progiciels. La solution proposée par MacG est envisageable chez les particuliers mais juste risible pour des pros en grande entreprise.
avatar joneskind | 
@hyrok : Je ne vois pas ce qu'il y a d'absurde. Il s'agit de supprimer des programmes qui mettent en danger le système. Si tu avais un logiciel potentiellement dangereux pour ton ordinateur tu le désinstallerais sans te poser de question (c'était le cas de certains logiciels Peer To Peer), ou tu arrêterais de l'utiliser. Ici c'est exactement la même chose. Java est potentiellement dangereux, autant le désinstaller, quitte à le réinstaller après une mise à jour. Les sites qui ont besoin de Java sont très rares, donc ce n'est pas très handicapant. Ça l'est sûrement plus pour Flash. La question est aussi de savoir si tu as besoin ou non de Java. Si il ne t'es pas indispensable ça me parait plutôt absurde de le conserver. Moi je n'ai pas le choix parce que Photoshop en a besoin sur Mac, mais j'aimerai l'avoir. Je n'ai par contre aucun soucis à le désactiver dans le navigateur.
avatar Mithrandir | 
@kyjaotkb Ne pas confondre Appletalk et application, ça n'a rien à voir...
avatar Mithrandir | 
@mithrandir Applet
avatar joneskind | 
@mackloug : Je crois que tu confonds Java et Javascript. Ça n'a rien à voir. Javascript est effectivement indispensable au web, et c'est la base de ce qui permet au HTML5 de faire aussi bien que Flash. Java lui n'est utilisé que très rarement par certains site pour exécuter du code un peu plus complexe sur ta machine, bien souvent pour alléger le serveur. Java n'a rien d'indispensable.
avatar joneskind | 
@mhidi : Oui. Ce n'est pas le navigateur qui est en cause mais Java qui est installé sur ton ordinateur. Le navigateur demande à Java d'exécuter du code pour le site que tu visites. Il n'y a pas un Java par navigateur mais un pour tous. Il faut donc désactiver l'applet Java sur tous tes navigateurs ou plus simplement désinstaller Java.
avatar joneskind | 
@debione : Difficile à dire. T'as déjà eu des objets flash qui s'activaient sans cliquer ? Si oui c'est que ton plugin n'est pas parfait et que du coup il ne sert pas à grand chose contre du code malveillant...
avatar Mister_sam32 | 
Une question Si je désactive ou supprime flash, comment vais-je pouvoir regarder les vidéos sur YouTube ? Y'aurai t'il un navigateur permettant de faire cela par défaut, sans plugins?
avatar Monsieur Albert | 
@Mister_Sam32 : Chromium.
avatar Claude_C | 
En passant, y a pas Flash ni Java sur iOS et on s'en passe plutôt bien.
avatar momo-fr | 
Les virus proviennent toujours des autres, il suffit juste de "désactiver" les "autres" et la vie et belle… :-p
avatar alan63 | 
Puisqu'on trouve des failles chez Apple ´ il faut virer Apple Non mais......!
avatar Franckytoo | 
@Claude_C : Oui mais on ne fait pas la même chose sur une tablette ou un smartphone que sur un Mac.
avatar aspartame | 
@ hyrok : +1
avatar Carcintosh | 
Oui mais, quoi installer pour les remplacer !?!
avatar Terence993 | 
Normal que j'ai une VM Java sur mon Mac, alors que je n'ai pas Java d'installer ?
avatar Terence993 | 
D'installé*
avatar Sizo | 
@Mister_Sam32 : http://youtube.com/html5
avatar Sizo | 
@alan63 : Ce n'est pas chez Apple mais des failles de LOGICIELS TIERS a savoir Flash et Java qui sont développés respectivement par Adobe et Oracle (pas par Apple !)
avatar Sizo | 
@Carcintosh : Hein ??
avatar PiRMeZuR | 
@Mister_Sam32 Pour ma part, j'utilisais beaucoup Youtube5, une extension pour passer pas mal de vidéos en HTML5. Sinon, YouTube propose de charger les vidéos selon ce mode par défaut, mais il est capricieux et ne le fait pas systématiquement...
avatar Gueven | 
Ici certains mélangent Java et Javascript. Java dans un navigateur (via les Applets) est source de trou de sécurité du fait de la richesse de Java qui a accès à tout le système. Le mécanisme d'Applet permet de réduire l'accès, mais vu que le logiciel est énorme, il a des failles de sécurité. Java est très peu utilisé dans sur Internet côté navigateur, on le retrouve pour les signatures électroniques ou alors pour gérer un traitement lourd côté client (et encore maintenant tout est plus simple en Javascript). Le desinstaller n'est pas forcément une mauvaise idée, si le besoin n'existe pas.
avatar Berechit | 
"Objet vivant" ? Dans les DSI, nous disons "l'interface chaise-écran"... C'est moins stigmatisant en première écoute et ça dit la même chose !
avatar Carcintosh | 
@sizo : Y a quoi pour remplacer java et flash
avatar keyser31 | 
Chez moi, problème pour désactiver Flash sur Chrome. Il se réactive dès que je relance le navigateur. Quelqu'un a une idée ?
avatar Quintus | 
Oui bien sûr, c'est très extrémiste comme réflexion, allons-y, quand il n'y aura plus qu'un seul acteur système responsable de failles et cela arrivera, je suppose qu'il se sabordera, logique non !
avatar CKJBeOS | 
@joneskind : Je crois que la CS6 n'en à plus besoin (mais je suis pas sûre)
avatar Wolf | 
Dans Java, pas de gestionnaire de fichier dans webmin par exemple.
avatar Trollolol | 
C1rc3@0rc [21/02/2013 02:19] "autant rester sur XP sans antivirus et naviguer avec Explorer... " Tout comme Java != Javascript, Explorer (finder sous mac) != Internet Explorer :) @sizo [21/02/2013 08:23] via MacG Mobile "Ce n'est pas chez Apple mais des failles de LOGICIELS TIERS a savoir Flash et Java qui sont développés respectivement par Adobe et Oracle (pas par Apple !) " Ni par Microsoft et ça empêche pas les gens de dire que Windows est un gruyère alors que + de 95% des vicitmes d'exploitkit le sont à cause de flash et java.
avatar elamapi | 
Je vote pour. Même si je reconnais l'utilité de ses deux technos, je pense, maintenant, qu'avec un peu de html5, n'importe quel navigateur recent à les moyen de combler ces absences sans soucis.
avatar patrick86 | 
@Mister_Sam32 : Il y a l'extension ClickToFlash, tu peux l'installer dans Safari (et les autres il me semble). Cette extension bloque l'exécution automatique de Flash Player et, affiche à la place de l'élément concerné, un rectangle blanc marqué "Flash". Il suffit de cliquer dessus pour exécuter… Mais ce n'est pas tout, et là c'est encore plus intéressant : il force, dés que c'est possible, la lecture des video dans leur format par le biais d'un lecteur intégré au système (a priori c'est QuickTime sur Mac). Sur YouTube, les video son en H.264, et c'est le lecteur qui est programmé en Flash. Donc cette extension permet de se passer efficacement d'un Plugin troué de failles et mal optimisé… Le gros problème concertant la suppression de Flash Player, c'est qu'il y a encore beaucoup de trop site qui l'utilisent. Sans parler de ceux qui sont entièrement programmés en Flash… Et il a aussi ceux qui ont été re-développés sans Flash pour les version mobiles, mais qui l'utilise toujours dans leur version classique… Les éditeurs de ces sites le font exprès ou quoi ?? @Claude_C : Oui comme quoi … :) @franckytoo : C'est pas ça le premier problème. C'est ce que je viens de dire juste avant que je complète par un exemple : les guignols de l'info sur le site de Canal +. Pour rendre la lecture possible sur iPhone, les video sont disponible dans leur format d'origine, et peuvent lues par le lecteur intégré à l'OS et au navigateur. Alors, pourquoi n'ont ils pas fait la même chose avec la version classique du site ? Pourquoi utilisent-ils encore Flash Player, alors qu'il n'y en plus besoin depuis HTML5 ? C'est pareil avec YouTube d'ailleurs ! Quelqu'un va peut être me dire que c'est pour garder la comptabilité avec Internet Explorer… Mais on s'en fou d'IE, c'est pas un navigateur ce truc ! Bref, j'ai toujours Flash Player, mais parce ClickToFlash limite efficacement son exécution !
avatar Anonyme (non vérifié) | 
@Mister_Sam32 : youtube mais a disposition une version html5 pour tout les navigateur récent.
avatar phocean | 
Flash et Java exécutent des JVM avec des droits sur le système qui permettent de passer outre toutes les protections du navigateur. Il y a bien sûr d'autres failles sur les navigateurs ou avec HTML, mais avec des impacts moindres. La sécurité des navigateurs et des OS a tout de même bcp progressé. La recommandation n'a donc rien d'absurde. Au contraire le manque de compréhension et l'insouciance de certains ici souligne le danger de ces plugins.
avatar pmloikju (non vérifié) | 
@Monsieur Albert : '@Mister_Sam32 : Chromium' Je veux une explication ! Cela m'a l'air + qu'intéressant. J'utilise chrome et je me demande si Chromium apporterai des avantages comme cela.
avatar patrick86 | 
@pmloikju : Chromium apporte surtout l'avantage d'être dépourvu des systèmes de traçage utilisés par Google et présents dans Chrome ;)
avatar Darth Philou (non vérifié) | 
Il y a visiblement une grande méconnaissance de Java. Le code d'une applet (donc un code java exécuté par un navigateur), fonctionne dans une machine virtuelle qui joue le rôle de bac à sable. Donc, à moins que les paramètres de sécurité ne soient bidouillés, il est impossible à ce code d'accéder aux ressources locales de l'ordinateur. Seules les ressources du site web d'où l'applet a été chargée peuvent être sollicitées. Java est donc sécurisé par spécification (a contrario d'autres technologies). Maintenant, ce n'est pas parce que la spécification le dit que l'implémentation le fait. Bref, le dernier épisode indique donc simplement qu'il y a une faille dans ce bac à sable, faille qu'il faut corriger pour être conforme aux spécifications. Si on devait arrêter d'utiliser tous les systèmes qui ont une faille de sécurité, autant arrêter d'utiliser un ordinateur (tablette, smartphone,...).
avatar phocean | 
Cela indique surtout que la sandbox de java n'est pas au point et a souffert de nombreuses vulnérabilités. Et aussi que plus on multiplie les modules sur le web, plus on augmente le risque. Et enfin que les attaques sur les plugins sont particulièrement silencieuses, difficiles à détecter et ont un potentiel d'exploitation intéressant et trivial. Sans parler de la difficulté de maintenir à jour tous ces composants, provenant d'éditeurs différents. Donc, encore une fois, seul le browser devait être en première ligne sur le web.
avatar alan63 | 
patrick86 [21/02/2013 09:44] Chromium apporte surtout l'avantage d'être dépourvu des systèmes de traçage utilisés par Google et présents dans Chrome ;) non c'est Iron qui possède cette particularité pas Chromium
avatar alan63 | 
Lion Yes [21/02/2013 09:35] via MacG Mobile youtube mais a disposition une version html5 pour tout les navigateur récent. laquelle est une horreur absolue mieux vaut utiliser ClickToFlash ou Youtube5 de vertical Forest
avatar Goldevil | 
Rendons à Cesar, ce qui lui appartient. Le système des plugin a permit de faire évoluer les sites alors que HTML évoluait très lentement et de manière assez anarchique. Sans Flash ou Java, Youtube aurait été lancé en 2012. Sans Java, les systèmes de Home Banking et de VPN serait toujours incompatibles avec le web. HTML 5 vient de débarquer, est encore immature mais surtout ne fait que ramener cette famille de protocoles et formats au niveau de ce qui existe déjà. Je trouve aussi que le HTML5 est le futur d'internet car il s'agit d'une norme ouverte et assez complète. Néanmoins, ce n'est pas encore le Graal. Les navigateurs ont leur propres implémentations amenant leurs lots de performances diverses, compatibilité partielle et peut-êtres de bugs. Le gros problème du HTML 5 c'est qu'il a fallu plus de 7 ans pour l'accouchement parce que pas mal de sociétés participants à la norme ont tenté de tirer la couverture à eux pour privilégier leurs technologies. Apple n'est pas la moindre avec ses efforts pour imposer un format vidéo par défaut qui n'est pas un format libre et gratuit. Flash reste encore très utile en dehors du navigateur. Par exemple, il y a de plus en plus d'application basé sur Flash/Air dans l'AppStore. Cela permet au développeurs de porter beaucoup plus facilement leur applications sur d'autres OS que s'ils avaient développé en ObjectiveC. Si Java du côté client à un succès mitigé, au niveau des serveurs la donne est différente. Les technologies Java reste la star avec ses nombreuses variations (ColdFusion, Groovy, Grails, JPython...). Les technologies Microsoft (.Net) brillent aussi et PHP reste la porte d'entrée aisée. En ce qui concerne les technologies en provenance d'Apple ... euh ... WebObject ... En dehors d'Apple qui utilise encore ce truc ? On peut commencer à vivre sans Java et Flash dans le navigateur si on est prêt à accepter certaines limitations de temps en temps.
avatar domd | 
Bon Flash, c'est pas qu'on s'en fout mais ... Finalement, ce n'est pas aux utilisateurs qu'il faut poser la question mais aux programmeurs. Il me semble que OOo utilise Java par exemple. Si un remplaçant (plus sécurisé) existe ce ne sera pas un problème. Mais est-ce possible ?

Pages

CONNEXION UTILISATEUR