Chaque année, le Pwn2Own contest met en compétition les meilleurs experts en sécurité dans le cadre de la Conférence CanSec de Vancouver pour tenter d'exploiter les failles des navigateurs. Et après le premier jour de l'édition 2010, il n'en reste plus qu'un : Google Chrome.
Le plus gros morceau à être tombé, c'est l'iPhone. Deux chercheurs, Vincenzo Iozzo et Ralph Weinmann, ont été les premiers à s'infiltrer avec succès sur le mobile, en exploitant un défaut du navigateur Safari pour récupérer la base de SMS sur un serveur. Ils n'ont pas pu être présents physiquement au concours, suite à un retard de leur avion, mais ils étaient représentés par Halvar Flake, autre chercheur en sécurité reconnu, et ont empoché 15 000 dollars pour la découverte de cette vulnérabilité Zero-day.
Autre faille dans Safari : Charlie Miller, un analyste en sécurité chez Independant Security Evaluators, a rapidement exploité une faille de la version bureau du navigateur. Il a remporté 10 000 dollars pour cette découverte, l'une des 20 dont il avait prévu de parler plus tard dans la conférence. Il est parvenu à infiltrer le navigateur en ouvrant un shell à distance, qui lui a permis de lancer n'importe quel code malicieux. Insatisfait des processus de sécurité chez Apple, il a annoncé qu'il ne dévoilerait pas toutes les failles, même si le règlement du concours l'oblige à révéler celle utilisée pour infiltrer la machine. Il a par ailleurs déclaré qu'il ne lui avait fallu que trois semaines et trois ordinateurs pour trouver ces 20 failles. Presque trop facile : « Je ne fais rien, mes ordinateurs font tout le travail. La quantité de travail nécessaire, c'est une minute par jour. Je ne devrais pas pouvoir trouver de failles avec ça, car Apple devrait être meilleur que moi à ce jeu. »
Les autres navigateurs ne sont pas beaucoup mieux lotis. Un spécialiste néerlandais, Peter Vreugdenhil, est parvenu à contourner la protection de l'ASLR (randomisation de l'espace d'adressage), une sécurité qui configure les processus de manière aléatoire, et à exploiter une faille présente sur le navigateur Internet Explorer 8 de Windows 7. 10 000 dollars pour lui aussi, ainsi que pour ce chercheur anglais, qui a utilisé la même technique pour exploiter une faille de Mozilla Firefox. Nils - c'est le nom qu'il a donné - a déclaré n'avoir eu besoin que de quelques jours pour sa découverte.
Au final, il ne reste que Chrome 4, tournant sur Windows 7, ainsi que plusieurs téléphones portables. Les experts n'ont pas tenté d'infiltrer le Nexus One, le BlackBerry Bold 9700, ni le Nokia E72 et son système Symbian.
Précision : au terme du premier jour, les experts en sécurité informatique n'ont pas tenté d'infiltrer Chrome, pour diverses raisons qui rendent cette opération « compliquée », selon Charlie Miller. Le navigateur Opera ne fait pas partie du concours.