Que faire si une invite de sécurité est affichée par Java ?
Cet article s'applique aux éléments suivants:
- Version(s) de Java: 7.0, 8.0
Java 7 Update 21 a introduit des modifications du comportement des plug-ins de navigateur Java qui vous permettent de prendre des décisions plus éclairées avant d'exécuter l'applet Java dans le navigateur. Une invite de sécurité vous demande confirmation avant d'autoriser l'exécution du contenu Java dans le navigateur. Pour les utilisateurs, les développeurs et les administrateurs système qui ont besoin de plus d'informations techniques reportez-vous aux liens fournis à la fin de cet article.
Niveaux de risque
Les messages présentés dépendent de différents facteurs de risque, comme l'utilisation d'anciennes versions de Java ou l'exécution de code d'applet qui n'est pas signé par une autorité de certification sécurisée. Les applications qui présentent un faible risque affichent un simple message d'information. Une option empêchant l'affichage ultérieur de messages similaires pour les applications du même éditeur est incluse.
Cette page décrit les invites pour vous aider à comprendre les risques liés à l'exécution de l'applet Java.
| Les invites d'application Java qui incluent ces images présentent un risque de sécurité plus faible. | ||
|---|---|---|
 |
Logo Java ou logo de l'éditeur | Représente une application qui est identifiée par un certificat valide issu d'une autorité de certification sécurisée. Pour plus d'informations reportez-vous aux mentions ci-dessous |
|
Bouclier bleu, information | Indique que l'application peut être identifiée par un certificat valide et que plus d'informations sont disponibles. |
| Les invites d'application Java qui incluent ces images présentent un risque de sécurité plus élevé et ne doivent pas être exécutées. | ||
|---|---|---|
|
Triangle d'avertissement jaune | Représente une application qui ne peut pas être identifiée car le certificat n'est pas sécurisé ou est arrivé à expiration. Pour plus d'informations reportez-vous aux mentions ci-dessous |
|
Bouclier jaune, avertissement | Indique que l'application n'est pas signée et/ou que le certificat n'est pas valide. Les informations d'identification fournies par le certificat ne doivent pas être approuvées. |
» Plus d'informations sur les modifications concernant le code signé
Application Java avec un certificat issu d'une autorité sécurisée
Les applications de ce type présentent généralement un risque faible. Cette boîte de dialogue représente l'application avec le certificat valide d'une autorité sécurisée.Eléments à prendre en compte :
- Nom de l'éditeur : affiché
- Icônes affichées : logo Java ou du fournisseur et bouclier bleu d'information
.jpg)
La boîte de dialogue peut être différente en fonction du mode de déploiement de l'application.
» Plus d'informations sur les autres boîtes de dialogue de certificat signé sécurisé
Que faire :
- Vérifiez les informations de nom, d'éditeur ou d'emplacement affichées dans la boîte de dialogue. Nous vous recommandons de sélectionner Annuler si l'une de ces informations ne concorde pas.
| Le message présenté dans la boîte de dialogue variera selon que l'application demande : | |
|---|---|
| Accès illimité (connexion avec privilèges) | Cette application sera exécutée sans restriction d'accès, ce qui peut représenter un risque pour votre ordinateur et vos données personnelles. Exécutez-la uniquement si vous faites confiance à l'emplacement et à l'éditeur. |
| Accès limité (modèle d'environnement restreint) | Cette application sera exécutée avec un accès limité qui vise à protéger votre ordinateur et vos données personnelles. |
Application Java sans certificat (non signée)
A partir de Java 7 Update 51, les applications sans certificat (c'est-à-dire les applications non signées) ou avec des informations sur le nom et l'éditeur de l'application manquantes sont bloquées par défaut. L'exécution de ce type d'application est potentiellement dangereuse et présente un niveau de risque plus élevé.Quoi rechercher :
- Titre de boîte de dialogue : Application bloquée ou Application Java bloquée (Java 8)
- Nom de l'éditeur : aucun éditeur listé
- Titre de message : Application bloquée par les paramètres de sécurité ou Application bloquée par la sécurité Java (Java 8)
- Message : vos paramètres de sécurité ont empêché l'exécution d'une application non sécurisée.
Pour des raisons de sécurité, les applications doivent désormais remplir des critères de sécurité de niveau élevé ou très élevé, ou être répertoriées dans la liste des sites avec exception, pour que leur exécution soit autorisée. (8u20 et versions ultérieures)
Que faire :
Il est fortement recommandé de ne pas exécuter ce type d'application. Toutefois, si vous comprenez le risque et que vous voulez quand même exécuter l'application, vous pouvez ajouter l'URL de cette application à Liste des sites avec exception qui se trouve sous l'onglet Sécurité du panneau de configuration Java. L'ajout de cette URL à cette liste permettra l'exécution de l'application après l'affichage d'avertissements de sécurité.
» Gestion et configuration de la liste des sites avec exception
Application Java avec un certificat arrivé à expiration issu d'une autorité sécurisée
Les applications de ce type présentent un niveau de risque modéré mais l'éditeur n'a pas renouvelé leur certificat.Quoi rechercher :
- Titre de boîte de dialogue : Application bloquée ou Application Java bloquée (Java 8)
- Titre de message : Application bloquée par les paramètres de sécurité ou Application bloquée par la sécurité Java (Java 8)
- Avertissement : vos paramètres de sécurité ont empêché l'exécution d'une application signée avec un certificat expiré ou pas encore valide.
Pour des raisons de sécurité, les applications doivent désormais remplir des critères de sécurité de niveau élevé ou très élevé, ou être répertoriées dans la liste des sites avec exception, pour que leur exécution soit autorisée. (8u20 et versions ultérieures)
Vous verrez peut-être des variantes de la boîte de dialogue si vous exécutez une ancienne version de Java.
Que faire :
Il est fortement recommandé de ne pas exécuter ce type d'application. Toutefois, si vous comprenez le risque et que vous voulez quand même exécuter l'application, vous pouvez ajouter l'URL de cette application à Liste des sites avec exception qui se trouve sous l'onglet Sécurité du panneau de configuration Java. L'ajout de cette URL à cette liste permettra l'exécution de l'application après l'affichage d'avertissements de sécurité.
» Gestion et configuration de la liste des sites avec exception
| Le message présenté dans la boîte de dialogue variera selon que l'application demande : | |
|---|---|
| Accès illimité (connexion avec privilèges) | Cette application sera exécutée sans restriction d'accès, ce qui peut représenter un risque pour votre ordinateur et vos données personnelles. Les informations fournies ne sont pas fiables ou sont inconnues, donc il est recommandé de ne pas exécuter cette application sauf si vous connaissez sa source |
| Accès limité (modèle d'environnement restreint) | Cette application sera exécutée avec un accès limité qui vise à protéger votre ordinateur et vos données personnelles. |
Application Java avec un certificat issu d'une source non sécurisée
A partir de Java 7 Update 51, les applications avec des certificats auto-signés sont bloquées par défaut. Les applications de ce type présentent le niveau de risque le plus élevé car l'éditeur n'est pas identifié et l'application peut disposer d'un accès aux données personnelles se trouvant sur votre ordinateur.
Quoi rechercher :- Titre de boîte de dialogue : Application bloquée ou Application Java bloquée (Java 8)
- Nom de l'éditeur : aucun éditeur listé
- Titre de message : Application bloquée par les paramètres de sécurité ou Application bloquée par la sécurité Java (Java 8)
- Message affiché : vos paramètres de sécurité ont empêché l'exécution d'une application auto-signée.
Pour des raisons de sécurité, les applications doivent désormais remplir des critères de sécurité de niveau élevé ou très élevé, ou être répertoriées dans la liste des sites avec exception, pour que leur exécution soit autorisée. (8u20 et versions ultérieures)
Que faire :
Il est fortement recommandé de ne pas exécuter ce type d'application. Toutefois, si vous comprenez le risque et que vous voulez quand même exécuter l'application, vous pouvez ajouter l'URL de cette application à Liste des sites avec exception qui se trouve sous l'onglet Sécurité du panneau de configuration Java. L'ajout de cette URL à cette liste permettra l'exécution de l'application après l'affichage d'avertissements de sécurité.
» Gestion et configuration de la liste des sites avec exception
Vérification de la révocation pour les applications Java
A partir de Java 7u25, avant toute tentative de lancement d'une application Java, le certificat de signature sera validé auprès de l'autorité de certification émettrice, à l'aide des listes des certificats révoqués (CRL) et du protocole OCSP (Online Certificate Status Protocol) afin de vérifier que le certificat utilisé pour signer l'application n'a pas été révoqué par l'autorité de certification émettrice.Cette fonctionnalité permet de protéger les systèmes des utilisateurs finaux des développeurs malveillants qui dans le passé ont utilisé des certificats volés ou acquis de manière illicite pour signer les applications. Avant d'exécuter toute application déployée sur le Web avec Java 7u25 (et versions ultérieures), une tentative de contact de l'autorité de certification sera effectuée afin de vérifier le statut de révocation et d'éviter l'utilisation de certificats volés ou acquis de manière illicite.
Eléments à rechercher :
la vérification de la révocation peut renvoyer des messages différents selon le type de vérification :
- Le certificat a été révoqué
- Echec de la validation du certificat
- Connexion à l'autorité de certification impossible
Le certificat a été révoqué. L'application ne sera pas exécutée.
Cette boîte de dialogue apparaît lors de l'exécution d'une application avec un certificat qui a été révoqué par l'autorité de certification (CA). Ce scénario présente le niveau de risque le plus élevé. L'application ne sera pas exécutée car elle peut provenir d'une source malveillante.
Echec de la validation du certificat. L'application ne sera pas exécutée.
Cette boîte de dialogue apparaît lors de l'exécution d'une application avec un certificat qui ne peut pas être validé par l'autorité de certification (CA). Elle apparaît si vous avez défini le niveau de sécurité sur Très élevé dans le panneau de configuration Java et si le certificat ne peut pas être validé.
Connexion à l'autorité de certification impossible
Cette boîte de dialogue s'affiche en cas de panne réseau et si l'autorité de certification (CA) n'est pas accessible pour valider le certificat. Dans ce cas, l'application peut généralement être exécutée en toute sécurité car ses actions sont limitées, mais elle peut tout de même présenter un niveau de risque modéré. Nous vous recommandons de sélectionner Annuler si vous ne connaissez pas bien l'éditeur du site que vous consultez.» Plus d'informations sur les options permettant de configurer les paramètres de révocation à partir du panneau de configuration Java.
INFORMATIONS TECHNIQUES COMPLÉMENTAIRES
- Plus d'informations sur les invites de sécurité sont disponibles dans la foire aux questions sur la signature de code.
- Les développeurs et les administrateurs système doivent prendre connaissance de l'article sur la signature de code Web Start et d'applet Java. (OTN)