Java.com

Télécharger Aide

Que faire si une invite de sécurité est affichée par Java ?


Cet article s'applique aux éléments suivants:
  • Version(s) de Java: 7.0

Java 7 Update 21 a introduit des modifications du comportement des plug-ins de navigateur Java qui vous permettent de prendre des décisions plus éclairées avant d'exécuter l'applet Java dans le navigateur. Une invite de sécurité vous demande confirmation avant d'autoriser l'exécution du contenu Java dans le navigateur. Pour les utilisateurs, les développeurs et les administrateurs système qui ont besoin de plus d'informations techniques, reportez-vous aux liens fournis à la fin de cet article.

Niveaux de risque
Les messages présentés dépendent de différents facteurs de risque, comme l'utilisation d'anciennes versions de Java ou l'exécution de code d'applet qui n'est pas signé par une autorité de certification sécurisée. Les applications qui présentent un faible risque affichent un simple message d'information. Une option empêchant l'affichage ultérieur de messages similaires pour les applications du même éditeur est incluse.

Cette page décrit les invites pour vous aider à comprendre les risques liés à l'exécution de l'applet Java.

Les invites d'application Java qui incluent ces images présentent un risque de sécurité plus faible.
Logo Java Logo Java ou logo de l'éditeur Représente une application qui est identifiée par un certificat valide issu d'une autorité de certification sécurisée. Pour plus d'informations, reportez-vous aux mentions ci-dessous
Icône en forme de bouclier d'information bleu Bouclier bleu, information Indique que l'application peut être identifiée par un certificat valide et que plus d'informations sont disponibles.

Les invites d'application Java qui incluent ces images présentent un risque de sécurité plus élevé et ne doivent pas être exécutées.
Icône en forme de triangle d'avertissement jaune Triangle d'avertissement jaune Représente une application qui ne peut pas être identifiée car le certificat n'est pas sécurisé ou est arrivé à expiration. Pour plus d'informations, reportez-vous aux mentions ci-dessous
Icône en forme de bouclier d'avertissement jaune Bouclier jaune, avertissement Indique que l'application n'est pas signée et/ou que le certificat n'est pas valide. Les informations d'identification fournies par le certificat ne doivent pas être approuvées.

» Plus d'informations sur les modifications concernant le code signé


Application Java avec un certificat issu d'une autorité sécurisée

Les applications de ce type présentent généralement un risque faible. Cette boîte de dialogue représente l'application avec le certificat valide d'une autorité sécurisée.

Eléments à prendre en compte :
  • Nom de l'éditeur : affiché
  • Icônes affichées : logo Java ou du fournisseur et bouclier bleu d'information
Application sécurisée avec certificat valide
La boîte de dialogue peut être différente en fonction du mode de déploiement de l'application.
» Plus d'informations sur les autres boîtes de dialogue de certificat signé sécurisé

Que faire :
  • Vérifiez les informations de nom, d'éditeur ou d'emplacement affichées dans la boîte de dialogue. Nous vous recommandons de sélectionner Annuler si l'une de ces informations ne concorde pas.
Le message présenté dans la boîte de dialogue variera selon que l'application demande :
Accès illimité (connexion avec privilèges) Cette application sera exécutée sans restriction d'accès, ce qui peut représenter un risque pour votre ordinateur et vos données personnelles. Exécutez-la uniquement si vous faites confiance à l'emplacement et à l'éditeur.
Accès limité (modèle d'environnement restreint) Cette application sera exécutée avec un accès limité qui vise à protéger votre ordinateur et vos données personnelles.


Application Java sans certificat (non signée)

A partir de Java 7 Update 51, les applications sans certificat (c'est-à-dire les applications non signées) ou avec des informations sur le nom et l'éditeur de l'application manquantes sont bloquées par défaut. L'exécution de ce type d'application est potentiellement dangereuse et présente un niveau de risque plus élevé.

Quoi rechercher :
  • Titre de la boîte de dialogue : Application bloquée
  • Nom de l'éditeur : aucun éditeur listé
  • Message : Vos paramètres de sécurité ont bloqué l'exécution d'une application non sécurisée.
Applet non signée : une application non signée provenant de l'emplacement ci-dessous demande l'autorisation d'être exécutée. L'exécution de cette application peut présenter un risque de sécurité

Que faire :
  • Il est fortement recommandé de ne pas exécuter ce type d'application. Toutefois, si vous comprenez le risque et que vous voulez quand même exécuter l'application, vous pouvez ajouter l'URL de cette application à Liste des sites avec exception, qui se trouve sous l'onglet Sécurité du panneau de configuration Java.
    Comment gérer et configurer la liste des sites avec exception ?
    Une fois l'URL d'application ajoutée à cette liste, elle pourra être exécutée après la présentation de certains avertissements de sécurité.

Application Java avec un certificat arrivé à expiration issu d'une autorité sécurisée

Les applications de ce type présentent un niveau de risque modéré mais l'éditeur n'a pas renouvelé leur certificat.

Quoi rechercher :
  • Nom de l'éditeur : affiché
  • Icônes affichées : triangle d'avertissement jaune et bouclier jaune de sécurité
  • Titre de la boîte de dialogue : Avertissement de sécurité
  • Avertissement : L'exécution de cette application peut représenter un risque de sécurité
    Le certificat utilisé pour identifier cette application a expiré ou La signature numérique de l'application a expiré
Applet signée sécurisée avec certificat arrivé à expiration

La boîte de dialogue peut être différente en fonction du mode de déploiement de l'application.
» Plus d'informations sur les autres boîtes de dialogue de certificat arrivé à expiration

Que faire :
  • Vérifiez les informations de nom, d'éditeur ou d'emplacement affichées dans la boîte de dialogue. Nous vous recommandons de sélectionner Annuler si l'une de ces informations ne concorde pas.
Le message présenté dans la boîte de dialogue variera selon que l'application demande :
Accès illimité (connexion avec privilèges) Cette application sera exécutée sans restriction d'accès, ce qui peut représenter un risque pour votre ordinateur et vos données personnelles. Les informations fournies ne sont pas fiables ou sont inconnues, donc il est recommandé de ne pas exécuter cette application sauf si vous connaissez sa source
Accès limité (modèle d'environnement restreint) Cette application sera exécutée avec un accès limité qui vise à protéger votre ordinateur et vos données personnelles.


Application Java avec un certificat issu d'une source non sécurisée

A partir de Java 7 Update 51, les applications avec des certificats auto-signés sont bloquées par défaut. Les applications de ce type présentent le niveau de risque le plus élevé car l'éditeur n'est pas identifié et l'application peut disposer d'un accès aux données personnelles se trouvant sur votre ordinateur.

Quoi rechercher :
  • Titre de la boîte de dialogue : Application bloquée
  • Nom de l'éditeur : aucun éditeur listé
  • Message affiché : Vos paramètres de sécurité ont bloqué l'exécution d'une application sandbox auto-signée.
Applet auto-signée

Que faire :
  • Il est fortement recommandé de ne pas exécuter ce type d'application. Toutefois, si vous comprenez le risque et que vous voulez quand même exécuter l'application, vous pouvez ajouter l'URL de cette application à Liste des sites avec exception, qui se trouve sous l'onglet Sécurité du panneau de configuration Java.
    Comment gérer et configurer la liste des sites avec exception ?
    Une fois l'URL d'application ajoutée à cette liste, elle pourra être exécutée après la présentation de certains avertissements de sécurité.

Vérification de la révocation pour les applications Java

A partir de Java 7u25, avant toute tentative de lancement d'une application Java, le certificat de signature sera validé auprès de l'autorité de certification émettrice, à l'aide des listes des certificats révoqués (CRL) et du protocole OCSP (Online Certificate Status Protocol) afin de vérifier que le certificat utilisé pour signer l'application n'a pas été révoqué par l'autorité de certification émettrice.

Cette fonctionnalité permet de protéger les systèmes des utilisateurs finaux des développeurs malveillants qui dans le passé ont utilisé des certificats volés ou acquis de manière illicite pour signer les applications. Avant d'exécuter toute application déployée sur le Web avec Java 7u25 (et versions ultérieures), une tentative de contact de l'autorité de certification sera effectuée afin de vérifier le statut de révocation et d'éviter l'utilisation de certificats volés ou acquis de manière illicite.

Eléments à rechercher :
la vérification de la révocation peut renvoyer des messages différents selon le type de vérification :
  • Le certificat a été révoqué
  • Echec de la validation du certificat
  • Connexion à l'autorité de certification impossible

Le certificat a été révoqué. L'application ne sera pas exécutée.

Cette boîte de dialogue apparaît lors de l'exécution d'une application avec un certificat qui a été révoqué par l'autorité de certification (CA). Ce scénario présente le niveau de risque le plus élevé. L'application ne sera pas exécutée car elle peut provenir d'une source malveillante.

Certificat révoqué : le certificat d'une application provenant de l'emplacement répertorié est révoqué. Cette application ne sera pas exécutée.

Echec de la validation du certificat. L'application ne sera pas exécutée.

Cette boîte de dialogue apparaît lors de l'exécution d'une application avec un certificat qui ne peut pas être validé par l'autorité de certification (CA). Elle apparaît si vous avez défini le niveau de sécurité sur Très élevé dans le panneau de configuration Java et si le certificat ne peut pas être validé.

Echec de la validation du certificat : le certificat de l'application provenant de l'emplacement répertorié ne peut pas être validé. Cette application ne sera pas exécutée.

Connexion à l'autorité de certification impossible

Cette boîte de dialogue s'affiche en cas de panne réseau et si l'autorité de certification (CA) n'est pas accessible pour valider le certificat. Dans ce cas, l'application peut généralement être exécutée en toute sécurité car ses actions sont limitées, mais elle peut tout de même présenter un niveau de risque modéré. Nous vous recommandons de sélectionner Annuler si vous ne connaissez pas bien l'éditeur du site que vous consultez.

» Plus d'informations sur les options permettant de configurer les paramètres de révocation à partir du panneau de configuration Java.


INFORMATIONS TECHNIQUES COMPLÉMENTAIRES

Sélectionner une langue | A propos de Java | Support technique | Développeurs
Politique de confidentialité | Conditions d'utilisation | Trademarks | Avis de non-responsabilité

Oracle