Oracle sommé de signaler les versions obsolètes de Java SE

Quand il a racheté Sun Microsystems, en 2010, Oracle a aussi récupéré Java Platform Standard Edition, très utilisé pour le développement de code portable pour PC et serveurs. (crédit : Stephen Lawson/IDGNS)

A la suite d’un accord avec la Federal Trade Commission américaine, Oracle devra prévenir les utilisateurs si certaines versions anciennes de Java SE, potentiellement vulnérables, se trouvent encore installées sur leurs postes. L’accord sera soumis aux avis du public pendant 30 jours avant sa ratification définitive. S’il est finalisé, Oracle risquera ensuite une sanction pénale de 16 000 $ par infraction.

Les questions de sécurité ont longtemps perturbé les utilisateurs de Java SE d’Oracle. Mais les efforts entrepris par la Federal Trade Commission pour résoudre le problème ont finalement porté leurs fruits. La FTC est l’agence qui se penche sur les problèmes de pratiques commerciales outre-Atlantique. Hier, celle-ci a annoncé qu’Oracle acceptait de reconnaître dans un projet d’ordonnance, qu’en termes de sécurité, les mises à jour du logiciel Java Standard Edition n’étaient pas à la hauteur des attentes des consommateurs. Après la ratification de ce document, l’éditeur risque des sanctions pénales à hauteur de 16 000 dollars pour chaque violation.

Java SE se trouve sur quelque 850 millions d’ordinateurs à travers le monde. « Quand le logiciel d’un éditeur est installé sur des centaines de millions d’ordinateurs, il est capital que ses déclarations soient vraies et que ses mises à jour de sécurité fournissent la sécurité effectivement attendue », a déclaré Jessica Rich, directrice du Bureau de protection des consommateurs à la FTC. Selon les termes du projet d’ordonnance, Oracle devra permettre aux consommateurs de désinstaller facilement les anciennes versions de Java SE n’offrant pas les garanties de sécurité.

Des versions vulnérables de Java SE n’étaient pas supprimées

« Oracle, qui a acquis Java en 2010, savait que les anciennes versions présentaient des problèmes de sécurité », accuse la FTC. « L’éditeur avait également promis aux utilisateurs que les mises à jour protègeraient leurs systèmes », a encore déclaré la commission. En réalité, les mises à jour supprimaient uniquement la version antérieure la plus récente du logiciel sans toucher aux anciennes versions vulnérables aux attaques. Les failles de sécurité de Java SE ont permis à des pirates de créer des logiciels malveillants sur mesure avec lesquels ils ont pu récupérer des noms d’utilisateur et des mots de passe de comptes financiers et d’autres informations personnelles sensibles. Entre autres, Java supporte les calculatrices web, les jeux en ligne, les chats room et la visualisation d’images 3D.

« Oracle avait connaissance de ce problème dès 2011 », accuse encore la FTC, mais l’éditeur n’a jamais informé les utilisateurs que le processus maintenait en place les anciennes versions de Java SE. Et jusqu’en août 2014, les mises à jour continuaient à supprimer uniquement la version la plus récente de Java SE installée. Selon la plainte, l’absence d’information sur les limites des mises à jour livrées par Oracle est « une tromperie » et une violation de l’article 5 du FTC Act. Désormais, en vertu du projet d’ordonnance, Oracle devra informer les utilisateurs de la présence de versions obsolètes du logiciel sur leur ordinateur, des risques présentés par ces anciennes versions, et il devra leur proposer de les désinstaller au cours du processus de mise à jour de Java SE. Oracle devra diffuser largement ces obligations en ligne et dans les réseaux sociaux.

Un précédent pour les éditeurs de logiciels

La décision de la FTC de déposer plainte et d’accepter l’ordonnance par consentement a été prise à l’unanimité de 4 voix. L’accord sera soumis aux avis du public pendant 30 jours avant sa ratification définitive. Ensuite, à chaque violation, Oracle risque une sanction pénale pouvant atteindre 16 000 dollars. L’éditeur de Redwood Shores a refusé de commenter. « Oracle n’est pas un éditeur de logiciels grand public, et il n’en a pas du tout la structure », fait remarquer Rob Enderle, analyste principal de l’Enderle Group. « Il est peu probable qu’il ait volontairement trompé les utilisateurs », estime encore l’analyste. Par contre, il est probable qu’il « n’ait pas tout à fait mesuré ce qu’il disait ».

« La principale erreur a effectivement été corrigée en 2014 », explique pour sa part Al Hilwa, un directeur de programme d’IDC, mais « la décision se rapporte à la période où le logiciel d’Oracle ne supprimait pas les versions antérieures de Java ». Selon lui, « l’ordonnance établit un précédent pour les éditeurs de logiciels », a-t-il ajouté. En attendant, il constate qu’il y a « dans toute l’industrie une prise de conscience considérable que la majorité des problèmes de sécurité sont liés à d’anciennes versions de logiciels ». Ajoutant : « D’une certaine façon, le logiciel est devenu un élément organique. Il est mis à jour constamment tout au long de son cycle de vie ».

Article de Par Katherine Noyes / IDG News Service (adapté par Jean Elyan)