Java.com

Télécharger Aide

Version imprimable

Que faire si une invite de sécurité est affichée par Java ?


Cet article s'applique aux éléments suivants:
  • Version(s) de Java: 7.0, 8.0

Java 7 Update 21 a introduit des modifications du comportement des plug-ins de navigateur Java qui vous permettent de prendre des décisions plus éclairées avant d'exécuter l'applet Java dans le navigateur. Une invite de sécurité vous demande confirmation avant d'autoriser l'exécution du contenu Java dans le navigateur. Pour les utilisateurs, les développeurs et les administrateurs système qui ont besoin de plus d'informations techniques, reportez-vous aux liens fournis à la fin de cet article.

Niveaux de risque
Les messages présentés dépendent de différents facteurs de risque, comme l'utilisation d'anciennes versions de Java ou l'exécution de code d'applet qui n'est pas signé par une autorité de certification sécurisée. Les applications qui présentent un faible risque affichent un simple message d'information. Une option empêchant l'affichage ultérieur de messages similaires pour les applications du même éditeur est incluse.

Cette page décrit les invites pour vous aider à comprendre les risques liés à l'exécution de l'applet Java.

Les invites d'application Java qui incluent ces images présentent un risque de sécurité plus faible.
Logo Java Logo Java ou logo de l'éditeur Représente une application qui est identifiée par un certificat valide issu d'une autorité de certification sécurisée. Pour plus d'informations, reportez-vous aux mentions ci-dessous
Icône en forme de bouclier d'information bleu Bouclier bleu, information Indique que l'application peut être identifiée par un certificat valide et que plus d'informations sont disponibles.

Les invites d'application Java qui incluent ces images présentent un risque de sécurité plus élevé et ne doivent pas être exécutées.
Icône en forme de triangle d'avertissement jaune Triangle d'avertissement jaune Représente une application qui ne peut pas être identifiée car le certificat n'est pas sécurisé ou est arrivé à expiration. Pour plus d'informations, reportez-vous aux mentions ci-dessous
Icône en forme de bouclier d'avertissement jaune Bouclier jaune, avertissement Indique que l'application n'est pas signée et/ou que le certificat n'est pas valide. Les informations d'identification fournies par le certificat ne doivent pas être approuvées.

» Plus d'informations sur les modifications concernant le code signé


Application Java avec un certificat issu d'une autorité sécurisée

Les applications de ce type présentent généralement un risque faible. Cette boîte de dialogue représente l'application avec le certificat valide d'une autorité sécurisée.

Eléments à prendre en compte :
  • Nom de l'éditeur : affiché
  • Icônes affichées : logo Java ou du fournisseur et bouclier bleu d'information
Application sécurisée avec certificat valide
La boîte de dialogue peut être différente en fonction du mode de déploiement de l'application.
» Plus d'informations sur les autres boîtes de dialogue de certificat signé sécurisé

Que faire :
  • Vérifiez les informations de nom, d'éditeur ou d'emplacement affichées dans la boîte de dialogue. Nous vous recommandons de sélectionner Annuler si l'une de ces informations ne concorde pas.
Le message présenté dans la boîte de dialogue variera selon que l'application demande :
Accès illimité (connexion avec privilèges) Cette application sera exécutée sans restriction d'accès, ce qui peut représenter un risque pour votre ordinateur et vos données personnelles. Exécutez-la uniquement si vous faites confiance à l'emplacement et à l'éditeur.
Accès limité (modèle d'environnement restreint) Cette application sera exécutée avec un accès limité qui vise à protéger votre ordinateur et vos données personnelles.


Application Java sans certificat (non signée)

A partir de Java 7 Update 51, les applications sans certificat (c'est-à-dire les applications non signées) ou avec des informations sur le nom et l'éditeur de l'application manquantes sont bloquées par défaut. L'exécution de ce type d'application est potentiellement dangereuse et présente un niveau de risque plus élevé.

Quoi rechercher :
  • Titre de boîte de dialogue : Application bloquée ou Application Java bloquée (Java 8)
  • Nom de l'éditeur : aucun éditeur listé
  • Titre de message : Application bloquée par les paramètres de sécurité ou Application bloquée par la sécurité Java (Java 8)
  • Message : vos paramètres de sécurité ont empêché l'exécution d'une application non sécurisée.
    Pour des raisons de sécurité, les applications doivent désormais remplir des critères de sécurité de niveau élevé ou très élevé, ou être répertoriées dans la liste des sites avec exception, pour que leur exécution soit autorisée. (8u20 et versions ultérieures)
Boîte de dialogue Application bloquée

Que faire :

Il est fortement recommandé de ne pas exécuter ce type d'application. Toutefois, si vous comprenez le risque et que vous voulez quand même exécuter l'application, vous pouvez ajouter l'URL de cette application à Liste des sites avec exception, qui se trouve sous l'onglet Sécurité du panneau de configuration Java. L'ajout de cette URL à cette liste permettra l'exécution de l'application après l'affichage d'avertissements de sécurité.
» Gestion et configuration de la liste des sites avec exception


Application Java avec un certificat arrivé à expiration issu d'une autorité sécurisée

Les applications de ce type présentent un niveau de risque modéré mais l'éditeur n'a pas renouvelé leur certificat.

Quoi rechercher :
  • Titre de boîte de dialogue : Application bloquée ou Application Java bloquée (Java 8)
  • Titre de message : Application bloquée par les paramètres de sécurité ou Application bloquée par la sécurité Java (Java 8)
  • Avertissement : vos paramètres de sécurité ont empêché l'exécution d'une application signée avec un certificat expiré ou pas encore valide.
    Pour des raisons de sécurité, les applications doivent désormais remplir des critères de sécurité de niveau élevé ou très élevé, ou être répertoriées dans la liste des sites avec exception, pour que leur exécution soit autorisée. (8u20 et versions ultérieures)
Applet signée sécurisée avec certificat arrivé à expiration


Vous verrez peut-être des variantes de la boîte de dialogue si vous exécutez une ancienne version de Java.

Que faire :

Il est fortement recommandé de ne pas exécuter ce type d'application. Toutefois, si vous comprenez le risque et que vous voulez quand même exécuter l'application, vous pouvez ajouter l'URL de cette application à Liste des sites avec exception, qui se trouve sous l'onglet Sécurité du panneau de configuration Java. L'ajout de cette URL à cette liste permettra l'exécution de l'application après l'affichage d'avertissements de sécurité.
» Gestion et configuration de la liste des sites avec exception

Le message présenté dans la boîte de dialogue variera selon que l'application demande :
Accès illimité (connexion avec privilèges) Cette application sera exécutée sans restriction d'accès, ce qui peut représenter un risque pour votre ordinateur et vos données personnelles. Les informations fournies ne sont pas fiables ou sont inconnues, donc il est recommandé de ne pas exécuter cette application sauf si vous connaissez sa source
Accès limité (modèle d'environnement restreint) Cette application sera exécutée avec un accès limité qui vise à protéger votre ordinateur et vos données personnelles.


Application Java avec un certificat issu d'une source non sécurisée

A partir de Java 7 Update 51, les applications avec des certificats auto-signés sont bloquées par défaut. Les applications de ce type présentent le niveau de risque le plus élevé car l'éditeur n'est pas identifié et l'application peut disposer d'un accès aux données personnelles se trouvant sur votre ordinateur.

Quoi rechercher :
  • Titre de boîte de dialogue : Application bloquée ou Application Java bloquée (Java 8)
  • Nom de l'éditeur : aucun éditeur listé
  • Titre de message : Application bloquée par les paramètres de sécurité ou Application bloquée par la sécurité Java (Java 8)
  • Message affiché : vos paramètres de sécurité ont empêché l'exécution d'une application auto-signée.
    Pour des raisons de sécurité, les applications doivent désormais remplir des critères de sécurité de niveau élevé ou très élevé, ou être répertoriées dans la liste des sites avec exception, pour que leur exécution soit autorisée. (8u20 et versions ultérieures)
Applet auto-signée

Que faire :

Il est fortement recommandé de ne pas exécuter ce type d'application. Toutefois, si vous comprenez le risque et que vous voulez quand même exécuter l'application, vous pouvez ajouter l'URL de cette application à Liste des sites avec exception, qui se trouve sous l'onglet Sécurité du panneau de configuration Java. L'ajout de cette URL à cette liste permettra l'exécution de l'application après l'affichage d'avertissements de sécurité.
» Gestion et configuration de la liste des sites avec exception


Vérification de la révocation pour les applications Java

A partir de Java 7u25, avant toute tentative de lancement d'une application Java, le certificat de signature sera validé auprès de l'autorité de certification émettrice, à l'aide des listes des certificats révoqués (CRL) et du protocole OCSP (Online Certificate Status Protocol) afin de vérifier que le certificat utilisé pour signer l'application n'a pas été révoqué par l'autorité de certification émettrice.

Cette fonctionnalité permet de protéger les systèmes des utilisateurs finaux des développeurs malveillants qui dans le passé ont utilisé des certificats volés ou acquis de manière illicite pour signer les applications. Avant d'exécuter toute application déployée sur le Web avec Java 7u25 (et versions ultérieures), une tentative de contact de l'autorité de certification sera effectuée afin de vérifier le statut de révocation et d'éviter l'utilisation de certificats volés ou acquis de manière illicite.

Eléments à rechercher :
la vérification de la révocation peut renvoyer des messages différents selon le type de vérification :
  • Le certificat a été révoqué
  • Echec de la validation du certificat
  • Connexion à l'autorité de certification impossible

Le certificat a été révoqué. L'application ne sera pas exécutée.

Cette boîte de dialogue apparaît lors de l'exécution d'une application avec un certificat qui a été révoqué par l'autorité de certification (CA). Ce scénario présente le niveau de risque le plus élevé. L'application ne sera pas exécutée car elle peut provenir d'une source malveillante.

Certificat révoqué : le certificat d'une application provenant de l'emplacement répertorié est révoqué. Cette application ne sera pas exécutée.

Echec de la validation du certificat. L'application ne sera pas exécutée.

Cette boîte de dialogue apparaît lors de l'exécution d'une application avec un certificat qui ne peut pas être validé par l'autorité de certification (CA). Elle apparaît si vous avez défini le niveau de sécurité sur Très élevé dans le panneau de configuration Java et si le certificat ne peut pas être validé.

Echec de la validation du certificat : le certificat de l'application provenant de l'emplacement répertorié ne peut pas être validé. Cette application ne sera pas exécutée.

Connexion à l'autorité de certification impossible

Cette boîte de dialogue s'affiche en cas de panne réseau et si l'autorité de certification (CA) n'est pas accessible pour valider le certificat. Dans ce cas, l'application peut généralement être exécutée en toute sécurité car ses actions sont limitées, mais elle peut tout de même présenter un niveau de risque modéré. Nous vous recommandons de sélectionner Annuler si vous ne connaissez pas bien l'éditeur du site que vous consultez.

» Plus d'informations sur les options permettant de configurer les paramètres de révocation à partir du panneau de configuration Java.


INFORMATIONS TECHNIQUES COMPLÉMENTAIRES

Sélectionner une langue | A propos de Java | Support technique | Développeurs
Politique de confidentialité | Conditions d'utilisation | Trademarks | Avis de non-responsabilité

Oracle