La plateforme Java est en effet bien souvent pointée par les spécialistes de la sécurité. En novembre 2011, Tim Rains, alors directeur du département Trustworthy Computing chez Microsoft, expliquait que 30 à 50% des attaques bloquées par l'outil anti-malware exploitaient la plateforme d'Oracle. Mozilla avait alors envisagé de bloquer complètement l'exécution du plugin Java au sein de Firefox. En avril 2012, 600 000 Mac avaient été infectés du cheval de Troie BackDoor.Flashback exploitant une faille de Java. Six mois plus tard, Apple retirait le plugin de toutes ses machines.
Dans sa version 8, l'environnement d'exécution Java assure la prise en charge du protocole TLS 1.2 afin de sécuriser les connexions mais également des algorithmes AEAD permettant de chiffrer un message tout en l'authentifiant de manière simultanée. Notons également une optimisation des algorithmes assurant les chiffrement par mot de passe.
Oracle adopte en outre les recommandations de la NSA dans le cadre du programme Cryptographic Modernization. Nous retrouvons ainsi les fonctions de hachage SHA-2 ainsi que l'ensemble d'algorithmes de chiffrement NSA Suite B. JRE8 est en outre compatible avec le protocole d'authentification réseau Kerberos en version 5.
Les développeurs ont également fait communiquer la bibliothèque logicielle d'interfaçage JNI (Java Native Interface) avec celles de JGSS basée sur Generic Security Service au sein d'OS X. L'idée est d'assurer une meilleure compatibilité entre les différents systèmes de sécurité.
Retrouvez davantage d'informations sur cette page.
