CanSecWest : les navigateurs vont avoir chaud sous Windows 7

Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Actualités CanSecWest : les navigateurs vont avoir chaud sous Windows 7

Publié le 20 février 2009 à 09:06 par Bruno C.

Lire sur mobile

La conférence mondiale sur la sécurité informatique CanSecWest sera comme chaque année le théâtre d'un concours de hacking au cours duquel les navigateurs Web IE8, Firefox, Safari et Opera devront subir des attaques sur une machine équipée Windows 7.

Du 16 au 20 mars 2009 va se tenir à Vancouver au Canada, la conférence mondiale sur la sécurité informatique, CanSecWest. Un peu en marge de cette manifestation, va se dérouler une nouvelle fois un concours de hacking sous l'égide de la société TippingPoint, filiale de 3Com.

L'année dernière, ce concours baptisé Pwn2Own avait vu passer sur le gril trois systèmes d'exploitation : Windows Vista Ultimate SP1, Mac OS X 10.5.2 Leopard et Ubuntu 7.10, tous trois équipant une machine spécifique dont un MacBook Air pour l'OS d'Apple. Après assouplissement des règles du concours, c'est d'ailleurs cette dernière qui avait fini par rendre les armes en premier.

En seulement deux minutes, Charlie Miller avait réussi à prendre son contrôle en exploitant un bug dans Safari (présent par défaut), empochant au passage la somme rondelette de 10 000 dollars ainsi que le MacBook Air. L'ordinateur sous Windows Vista avait suivi après installation autorisée de logiciels tiers et la présence d'une faille dans Flash Player. Une petite polémique était toutefois née face au manque d'envie des participants aux concours d'éprouver la distribution Linux.

Les navigateurs sur la sellette Windows 7
Cette année, le concours Pwn2Own sera consacré aux navigateurs Web et en l'occurrence Internet Explorer 8, Firefox, Safari et Opera. Les modalités du concours ne sont pas encore connues (comme toutes les versions des fureteurs d'ailleurs), mais il est probable qu'il s'agira d'exploiter une vulnérabilité 0-day afin de prendre le contrôle total d'une machine. Le champ d'expérimentation est justement connu : un notebook Sony VAIO P fonctionnant sous Windows 7. On sent déjà poindre une nouvelle polémique avec du côté de Microsoft, tant un navigateur qu'un OS qui ne sont pas disponibles dans leur version finale.

Une petite originalité cette année sera aussi qu'il n'y aura en réalité pas un mais deux concours, puisque des systèmes d'exploitation dans le domaine du mobile devront également subir des attaques : Android, iPhone, Symbian, Windows Mobile, RIM.

A l'issue du concours, les vulnérabilités 0-day découvertes et exploitées ne sont pas lâchées dans la nature et sont portées en toute discrétion à la connaissance des éditeurs concernés.