Il y a quelques années les failles de sécurité dans Java ont fait des ravages. Mais les choses sont en train de changer, au point que les cybercriminels trouvent de moins en moins amusant de s'en prendre à Java. Du coup Flash (re)devient leur cible de choix.

Ceci selon Microsoft, qui a expliqué, lors de la grand'messe sécurité RSA 2015, que sa récente politique de blocage des plugins Java vulnérables a conduit, ainsi que le rapporte The Register à une baisse drastique des attaques réussies via Java. Désormais, réussir une attaque sur le tandem Internet Explorer Java, demande aux cybercriminels d'utiliser une faille zero-day. Découvrir une telle faille et concevoir un exploit est évidemment plus difficile que de profiter du laxisme des utilisateurs qui négligent de faire leurs mises à jour de sécurité.

Du coup, 90% des cybercriminels se seraient (re)tournés vers Flash, dont les vulnérabilités sont légions depuis des années. Une valeur sûre pour les Black Hat :-) 5 nouveaux exploits sur 8 faisant partie des kits d'exploits - les trousses à outils malfaisants des méchants pirates - ciblaient Flash l'année dernière. Bien sûr des correctifs pour les vulnérabilités Flash sont publiés régulièrement, mais, selon l'article de The Register, si la plupart des Windows 8.1 ont des plugins Flash patchés, il n'en va pas de même avec Windows 7 : 20% des utilisateurs auraient échoué à appliquer les correctifs. En outre Internet Exlorer ne bloque pas les plugins Flash qui ne sont pas à jour.

Par ailleurs, Microsoft indique avoir remarqué que les cybercriminels sont de plus en plus réactifs. Le délai entre la découverte d'une vulnérabilité et la diffusion de son exploit dans les kits se réduit constamment.

Etre pirate, c'est un métier :-)