Pwn2Own : Mozilla rappelle qu'il ne s'agit que d'un concours

Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Actualités Pwn2Own : Mozilla rappelle qu'il ne s'agit que d'un concours

Publié le 23 mars 2009 à 11:04 par Jérôme G.

Lire sur mobile

Pour Mozilla, le concours de hacking Pwn2Own doit être pris en tant que tel et ne pas servir de test comparatif pour la sécurité des navigateurs Web.

Le concours Pwn2Own dont les résultats ont été relayés dans nos colonnes en ce qui concerne la résistance des navigateurs Web face à l'exploitation de nouvelles vulnérabilités de sécurité, vient de s'achever avec deux grands vainqueurs couronnés : Charlie Miller et Nils.

Parmi les navigateurs en lice, tant Safari qu'Internet Explorer 8 et Firefox (dernières versions à jour) ont laissé libre cours à l'exploitation de vulnérabilités pour notamment la prise de contrôle de la machine hôte. La société TippingPoint, organisatrice du concours et garante du secret entourant les vulnérabilités ainsi mises au jour le temps de leur correction par les éditeurs concernés, a tiré plusieurs enseignements de ce concours à l'issue duquel le navigateur Google Chrome a fait preuve d'une belle résistance face aux assauts.

Certes affecté par une des quatre vulnérabilités nouvellement découvertes, cette dernière n'a pu être exploitée dans le navigateur de Google via des techniques usuelles. TippingPoint a également tiré son chapeau à Microsoft qui malgré la tenue du MIX 2009 a très rapidement reproduit et validé la vulnérabilité IE8 découverte par Nils. Moins de douze heures pour ce faire et reste maintenant à fournir un patch correctif.

Pas significatif pour Mozilla
Par la voix d'Asa Doztler, Mozilla a eu un petit mot à propos du concours Pwn2Own. Le coordinateur de la Fondation Mozilla a souhaité mettre un bémol sur les résultats du concours craignant qu'ils ne fassent mauvaise presse.

On sait déjà que Mozilla n'affectionne pas le comptage du nombre de vulnérabilités comblées, un dénombrement qui est généralement en défaveur des logiciels libres dans leur ensemble mais n'est pas jugé significatif, le monde propriétaire étant considéré comme moins transparent à ce niveau. Mozilla préfère alors mettre en avant la rapidité de son action correctrice.

Concernant Pwn2Own, Doztler indique que se sont des experts de haut niveau qui y ont participé avec un travail de longue haleine déjà effectué en amont. L'exploitation quant à elle n'est pas un jeu d'enfants. Par ailleurs, s'il n'y avait pas eu de prix à la clé, des vulnérabilités n'auraient probablement pas été décelées. Le ressentiment de Doztler vis-à-vis de Pwn2Own tient à cette conclusion :

" Si un navigateur tombe ou pas dans le concours Pwn2Own n'est vraiment pas un comparatif de la sécurité des navigateurs. Il y a beaucoup de facteurs en jeu et réduire quelque chose d'aussi complexe que la sécurité en ligne de l'utilisateur aux résultats d'un concours comme Pwn2Own ou au nombre de failles divulguées porte un grand tort aux utilisateurs qui ont déjà de la difficulté à comprendre la sécurité en ligne. "