Pwn2Own : Mozilla rappelle qu'il ne s'agit que d'un concours

Le par  |  5 commentaire(s)
Firefox_new_logo

Pour Mozilla, le concours de hacking Pwn2Own doit être pris en tant que tel et ne pas servir de test comparatif pour la sécurité des navigateurs Web.

Firefox_new_logoLe concours Pwn2Own dont les résultats ont été relayés dans nos colonnes en ce qui concerne la résistance des navigateurs Web face à l'exploitation de nouvelles vulnérabilités de sécurité, vient de s'achever avec deux grands vainqueurs couronnés : Charlie Miller et Nils.

Parmi les navigateurs en lice, tant Safari qu'Internet Explorer 8 et Firefox (dernières versions à jour) ont laissé libre cours à l'exploitation de vulnérabilités pour notamment la prise de contrôle de la machine hôte. La société TippingPoint, organisatrice du concours et garante du secret entourant les vulnérabilités ainsi mises au jour le temps de leur correction par les éditeurs concernés, a tiré plusieurs enseignements de ce concours à l'issue duquel le navigateur Google Chrome a fait preuve d'une belle résistance face aux assauts.

Certes affecté par une des quatre vulnérabilités nouvellement découvertes, cette dernière n'a pu être exploitée dans le navigateur de Google via des techniques usuelles. TippingPoint a également tiré son chapeau à Microsoft qui malgré la tenue du MIX 2009 a très rapidement reproduit et validé la vulnérabilité IE8 découverte par Nils. Moins de douze heures pour ce faire et reste maintenant à fournir un patch correctif.


Pas significatif pour Mozilla
Par la voix d'Asa Doztler, Mozilla a eu un petit mot à propos du concours Pwn2Own. Le coordinateur de la Fondation Mozilla a souhaité mettre un bémol sur les résultats du concours craignant qu'ils ne fassent mauvaise presse.

On sait déjà que Mozilla n'affectionne pas le comptage du nombre de vulnérabilités comblées, un dénombrement qui est généralement en défaveur des logiciels libres dans leur ensemble mais n'est pas jugé significatif, le monde propriétaire étant considéré comme moins transparent à ce niveau. Mozilla préfère alors mettre en avant la rapidité de son action correctrice.

Concernant Pwn2Own, Doztler indique que se sont des experts de haut niveau qui y ont participé avec un travail de longue haleine déjà effectué en amont. L'exploitation quant à elle n'est pas un jeu d'enfants. Par ailleurs, s'il n'y avait pas eu de prix à la clé, des vulnérabilités n'auraient probablement pas été décelées. Le ressentiment de Doztler vis-à-vis de Pwn2Own tient à cette conclusion :

" Si un navigateur tombe ou pas dans le concours Pwn2Own n'est vraiment pas un comparatif de la sécurité des navigateurs. Il y a beaucoup de facteurs en jeu et réduire quelque chose d'aussi complexe que la sécurité en ligne de l'utilisateur aux résultats d'un concours comme Pwn2Own ou au nombre de failles divulguées porte un grand tort aux utilisateurs qui ont déjà de la difficulté à comprendre la sécurité en ligne. "

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #431131
Les propos d'Asa Doztler sont assez malvenus. Firefox est tombé. Ce n'est ni la première fois ni la dernière qu'une faille sera exploitable pour ce navigateur. Inutile de chouiner sur le fait que c'était préparé en avance ou que les hackers sont des experts.

Moralité, à cet instant, IE8, Safari et Firefox peuvent être détournés à l'insu de l'utilisateur. Ces failles étaient peut-être déja exploitées d'ailleurs.

Moralité 2, il est plus intéressant de révéler une faille lorsqu'il y a un gain à la clef que la reconnaissance éternelle de son nom en bas d'un changelog.
Le #431181
Salut,

"On sait déjà que Mozilla n'affectionne pas le comptage du nombre de vulnérabilités comblées"


On sait que les marketeux de la MoFo préfèrent effectivement les chiffres très significatifs des NetApplications' Market Share report, les résultats ébouriffants du test SunSpider et ceux, infiniment plus gratifiants, de leurs compteurs de téléchargements.
@+
--
Pierre
Le #431191
""les navigateurs ...ont laissé libre cours à l'exploitation de vulnérabilités pour notamment la prise de contrôle de la machine hôte.""
Question intéressée.
J'ai aussi firefox ( mais pas que ).
pour les machines hôtes prises ( les veinardes), c'est quoi conne OS ?
PArce que moi, sous linux, est ce que je risque quelque chose ?
J'affectionne d'aller sur les sites de cul et je n'ai jamais eu de problème sans antivirus et autres protections pourtant autorisées par BENOIT 16 sous-PAPE .
Est ce que je cours un risque puisque déjà je ne serai pas excommunié ? ?
Le #431231
de toute façon, un ordinateur protéger ou pas, ca se pirate.

C'est comme une maison, on a beau mettre tous les systèmes contre les cambrioleurs, s'ils veulent entrer, ils entreront.

Et bon, une version à jour c'est mieux, n'est-ce pas les 99% des gens qui ne font pas de mises à jours qui préfère attendre 2 mois avant pour voir si la mise à jour fonctionne ou pas...
Le #431531
pasinette >le risque reste limité mais existe bel et bien (plus que sous Windows, Linux n'ayant pas de Sandbox) : http://blogs.zdnet.com/security/?p=2941
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]