Pwn2Own contest : seul Chrome tient encore debout

Antoine Duvauchelle
Publié le 25 mars 2010 à 12h53
012C000002326356-photo-iphone-hacker.jpg
Chaque année, le Pwn2Own contest met en compétition les meilleurs experts en sécurité dans le cadre de la Conférence CanSec de Vancouver pour tenter d'exploiter les failles des navigateurs. Et après le premier jour de l'édition 2010, il n'en reste plus qu'un : Google Chrome.

Le plus gros morceau à être tombé, c'est l'iPhone. Deux chercheurs, Vincenzo Iozzo et Ralph Weinmann, ont été les premiers à s'infiltrer avec succès sur le mobile, en exploitant un défaut du navigateur Safari pour récupérer la base de SMS sur un serveur. Ils n'ont pas pu être présents physiquement au concours, suite à un retard de leur avion, mais ils étaient représentés par Halvar Flake, autre chercheur en sécurité reconnu, et ont empoché 15 000 dollars pour la découverte de cette vulnérabilité Zero-day.

Autre faille dans Safari : Charlie Miller, un analyste en sécurité chez Independant Security Evaluators, a rapidement exploité une faille de la version bureau du navigateur. Il a remporté 10 000 dollars pour cette découverte, l'une des 20 dont il avait prévu de parler plus tard dans la conférence. Il est parvenu à infiltrer le navigateur en ouvrant un shell à distance, qui lui a permis de lancer n'importe quel code malicieux. Insatisfait des processus de sécurité chez Apple, il a annoncé qu'il ne dévoilerait pas toutes les failles, même si le règlement du concours l'oblige à révéler celle utilisée pour infiltrer la machine. Il a par ailleurs déclaré qu'il ne lui avait fallu que trois semaines et trois ordinateurs pour trouver ces 20 failles. Presque trop facile : « Je ne fais rien, mes ordinateurs font tout le travail. La quantité de travail nécessaire, c'est une minute par jour. Je ne devrais pas pouvoir trouver de failles avec ça, car Apple devrait être meilleur que moi à ce jeu. »

Les autres navigateurs ne sont pas beaucoup mieux lotis. Un spécialiste néerlandais, Peter Vreugdenhil, est parvenu à contourner la protection de l'ASLR (randomisation de l'espace d'adressage), une sécurité qui configure les processus de manière aléatoire, et à exploiter une faille présente sur le navigateur Internet Explorer 8 de Windows 7. 10 000 dollars pour lui aussi, ainsi que pour ce chercheur anglais, qui a utilisé la même technique pour exploiter une faille de Mozilla Firefox. Nils - c'est le nom qu'il a donné - a déclaré n'avoir eu besoin que de quelques jours pour sa découverte.

Au final, il ne reste que Chrome 4, tournant sur Windows 7, ainsi que plusieurs téléphones portables. Les experts n'ont pas tenté d'infiltrer le Nexus One, le BlackBerry Bold 9700, ni le Nokia E72 et son système Symbian.

Précision : au terme du premier jour, les experts en sécurité informatique n'ont pas tenté d'infiltrer Chrome, pour diverses raisons qui rendent cette opération « compliquée », selon Charlie Miller. Le navigateur Opera ne fait pas partie du concours.
Antoine Duvauchelle
Par Antoine Duvauchelle

Aucun résumé disponible

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Abonnez-vous à notre newsletter !

Recevez un résumé quotidien de l'actu technologique.

Désinscrivez-vous via le lien de désinscription présent sur nos newsletters ou écrivez à : [email protected]. en savoir plus sur le traitement de données personnelles