Sécuriser un environnement d’exécution Java sous Windows

Ce document propose une méthodologie d’inventaire destinée à recenser précisément les besoins liés à Java, puis des recommandations pour mener une démarche de sécurisation de ces environnements.

Publié le 28 Juillet 2016 Mis à jour le 28 Juillet 2016

La technologie Java, rachetée en 2009 par Oracle Corporation, reste aujourd’hui très répandue et utilisée par de nombreuses applications. Ces applications peuvent se présenter sous la forme d’appliquettes exécutées depuis des clients légers (navigateurs Web) ou bien d’applications lourdes installées sur les postes utilisateurs ou téléchargées à l’exécution par Java Web Start via JNLP.

L’exécution de ces applications nécessite l’installation préalable des environnements d’exécution Java (appelés JRE, acronyme de Java Runtime Environment) sur les postes utilisateurs, on trouve par conséquent ces JRE souvent déployés dans les environnements professionnels.

Comme tout composant logiciel utilisé pour la navigation Web, ces environnements d’exécution Java sont une cible privilégiée des attaquants, ils font régulièrement l’actualité informatique de par les vulnérabilités fréquentes qui les touchent ainsi que leur exploitation facile et massive.

Qui plus est, les appliquettes Java ont une obsolescence annoncée qu’il convient d’anticiper tant par les développeurs d’applications Java que par les équipes d’administration des systèmes d’information.