Un jeune professeur de sciences informatiques et son équipe ont découvert un nouveau défaut dans la cuirasse Java de Netscape Communicator. Avertis juste à temps, les développeurs de Netscape ont résolu le problème pour la version préliminaire 4.5 du logiciel qui est disponible depuis mercredi.

Ce nouveau défaut vient de la classification par type de fichiers qu'opère le "Class loader" Java de Communicator, permettant à certains programmes de s'exécuter. Le professeur Felten a démontré qu'il était encore possible de flouer ce mécanisme, malgré les améliorations apportées par Sun Microsystems au kit de développement Java, et d'être ainsi en mesure de détruire des fichiers ou d'infester d'un virus l'ordinateur client.

Maintenant que les antivirus sont relativement répandus, le plus grand danger guettant les ordinateurs branchés sur Internet est constitué par ces programmes malicieux dont l'entrée est facilitée par les technologies Java, ActiveX et Javascript. La International Computer Security Association (ICSA) a d'ailleurs créé récemment un groupe de travail pour se pencher sur ce dossier, le Malicious Mobile Code Consortium (voir le communiqué). Une quinzaine d'entreprises informatiques américaines y avaient déjà adhéré fin juin. Ce consortium a pour mission d'étudier le problème des applications hostiles, de définir des normes de sécurité pour les neutraliser et d'informer le public des dangers existants.

L'intention du professeur Felten était d'ailleurs très amicale puisqu'elle a permis à Netscape de sortir le premier bêta de la prochaine version de sa suite Internet guérie de ce vilain défaut. Elle démontre aussi tout l'intérêt des tests effectués par des chercheurs indépendants sur la sécurité des logiciels, alors que certains législateurs, aux États-Unis et en Europe, aimeraient les interdire, jugeant ces activités agressives et dangereuses.

Comme annoncée début juin, Communicator 4.5 est une version nettement améliorée qui utilise à fond la liaison avec le site Netcenter. Elle semble à première vue rapide et robuste, intègre de nombreuses nouveautés dont, surtout, des caractéristiques de configuration et de gestion centralisée qui devraient faire le bonheur des grandes entreprises. Enfin, elle est disponible pour 33 systèmes d'exploitation différents.

Plus de détails dans le New York Times.
D'autres informations dans New Scientist.
Voir le communiqué de Netscape.