Hacking au Pwn2Own : Google Chrome n'a pas résisté

Le par  |  2 commentaire(s) Source : Pwn2Own
opendata

Pour le dernier jour du concours de hacking Pwn2Own, Google Chrome est tombé. Face à des hacker motivés, tous les navigateurs auront donc failli.

Le concours de hacking Pwn2Own a été sans pitié. Après le deuxième et dernier jour de la compétition, l'ensemble des navigateurs ont cédé face aux attaques. Du côté des plugins, seul Java d'Oracle a fait exception à la règle pour la simple raison qu'il n'y a pas eu de tentative d'attaque (le participant inscrit - Vupen - s'est désisté au dernier moment).

Pwn2Own-VupenAu total, ce sont 14 vulnérabilités qui ont été découvertes (bien en amont pour préparer le concours) et exploitées avec succès. La bonne nouvelle est qu'elles ne seront pas divulguées publiquement et les éditeurs pourront les combler grâce aux informations qui leur sont communiquées. Attendez-vous donc à une prochaine salve de mises à jour.

Le Pwn2Own fait une nouvelle fois la démonstration que des hackers motivés peuvent parvenir à leurs fins. Ce sont 850 000 dollars qui ont été reversés mais il faut avoir à l'esprit qu'il existe une " concurrence " avec un marché noir pour la revente d'exploits 0-day. C'est notamment pourquoi des programme dits de Bug Bounty ont été mis en place afin d'éviter des tentations.

Au deuxième jour de la compétition, Safari - qui avait déjà cédé dans le Pwn4Fun - et Google Chrome sont venus s'ajouter à la liste des navigateurs hackés. Même le navigateur de Google pourtant réputé pour sa protection sandbox aboutie aura donc failli.

Pwn2Own-GeoHotUn des grands gagnants du concours est le Français Vupen qui empoche à lui seul 400 000 dollars. Cette fois-ci, il n'y aura pas de contrat avec la NSA. Pour le dernier jour du Pwn2Own, l'équipe de Vupen est notamment parvenue à hacker Chrome avec une vulnérabilité d'utilisation après libération dans le moteur de rendu Blink et un contournement de sandbox. Rappelons qu'une protection sandbox sert à isoler l'exécution de divers éléments du reste de l'environnement.

De l'aveu même de Vupen et selon des propos recueillis par Threatpost, il devient de plus en plus difficile d'exploiter des vulnérabilités et trouver des 0-day dans les navigateurs, et en particulier sur Windows 8.1.

À noter qu'une vieille connaissance du jailbreak d'iPhone et de la PlayStation a participé au Pwn2Own. George Hotz - alias GeoHot - a décroché 50 000 dollars en s'attaquant avec succès à Firefox.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1685452
Ca veut dire quoi "Une tentative d'attaque a en effet été annulée au dernier moment" à propos de java ?
Le #1685752
Ca veut dire qu'ils ont voulu garder la faille pour eux... Le prix mis en jeu n'était pas aussi important que la revente de la faille au marché noir..
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]