Firefox n'est plus digne d'intérêt pour les hackers du Pwn2Own

Le par  |  14 commentaire(s)
Firefox OS logo

Le célèbre concours de hacking Pwn2Own fait l'impasse sur le navigateur Firefox. Une éviction justifiée par le fait qu'il n'a pas bénéficié de véritables améliorations de sécurité au cours de l'année dernière.

Maintes fois relayé dans nos colonnes au fil des ans, le concours de hacking Pwn2Own se déroule en marge de la conférence de sécurité CanSecWest au Canada. Des chercheurs en sécurité informatique - ou hackers - tentent de pénétrer des ordinateurs équipés des versions les plus à jour de logiciels et dans leur configuration par défaut. Les exploits se concentrent essentiellement sur les navigateurs Web avec de grosses récompenses à la clé.

Pwn2Own-GeoHotPour l'édition 2016, qui se déroulera le mois prochain, les participants se mesureront à Microsoft Edge ou Google Chrome sur Windows 10 en 64 bits, Adobe Flash exécuté dans Microsoft Edge, ainsi que Safari tournant sur un Mac équipé de OS X El Capitan. Respectivement, les primes en jeu sont de 65 000 $, 60 000 $ et 40 000 $.

Si un exploit permet une exécution de code au niveau système ou root, le hacker perçoit la somme supplémentaire de 20 000 $. Pour Windows 10, la difficulté d'exploitation incarnée par la présence de l'outil EMET est prise en compte. Dans l'absolu, Microsoft assure que Enhanced Mitigation Experience Toolkit n'est plus nécessaire à Windows 10 même s'il est compatible avec celui-ci.

L'édition 2016 du Pwn2Own est marquée par une nouveauté avec un prix de 75 000 $ en rapport avec une attaque victorieuse visant la machine virtuelle VMware Workstation sur laquelle tourneront des navigateurs pour Windows. Une machine virtuelle isole les applications exécutées et ne permet pas à des processus de s'échapper, ce que devront pourtant réussir les participants avec leur code.

Un autre fait marquant est une absence dans les cibles… celle du navigateur Firefox. À eWeek, Brian Gorenc, responsable Vulnerability Research chez Hewlett Packard Enterprise (HPE ; un sponsor du Pwn2Own), explique que le choix a été fait de se focaliser sur les navigateurs ayant bénéficié " d'importantes améliorations de sécurité au cours de l'année dernière. "

Ouch… voilà qui paraît bien rude pour le navigateur de Mozilla et sous-entend qu'une attaque contre Firefox est devenue trop facile pour des hackers de la trempe de ceux qui relèvent le défi du Pwn2Own. La critique sous-jacente est à rapprocher avec le retard pris par le projet e10s pour une architecture multi-processus qui fait toujours défaut dans une version stable de Firefox. Elle va en effet permettre une protection de type sandbox (bac à sable ) pour Firefox.

Le Pwn2Own est rattaché à l'initiative ZDI de HP en tant que division de TippingPoint. Cette dernière a été acquise par Trend Micro en octobre 2015 pour près de 300 millions de dollars. La période de transition faisant, l'édition 2016 du concours est conjointement parrainée par HPE et Trend Micro.

Rappelons qu'avec ce concours, les éditeurs concernés sont prévenus des vulnérabilités dans leurs produits qui ont été exploitées avec succès afin qu'ils puissent les corriger (pas de divulgation publique auparavant).

Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1881061
Outch "Aucune amélioration significative de la sécurité durant l'année" ... J'en connais qui vont couiner en lisant cette ligne
Le #1881062
firejail firefox
Le #1881070
Ca commence quand même à sentir le roussi pour Firefox..
J'espère qu'ils vont réagir vite...
Le #1881083
"le choix a été fait de se focaliser sur les navigateurs ayant bénéficié " d'importantes améliorations de sécurité au cours de l'année dernière. ""
=>Bref, Firefox a fait le choix de la stabilité et donc les kékés du Pwn2Own s'avouent incapables de trouver tout plein de nouvelles failles comme cela est coutume quand on n'arrête pas "d'innover" aka de reprogrammer la roue chaque année.
Le #1881086
Ce n'est pas le Pwn2Own qui décidera de l'avenir de Firefox mais les usagers. chrome reste un "service" google avec spywares intégrés, là où Firefox respecte d'abord votre vie privée.
Mais il est clair que tout ce qui s'est passé en 2015 pèsera lourd sur l'avenir de la fondation. Et sans web mobile, je pense que Gecko est condamné à terme, quels que soient les progrès réalisés. A mon avis, la fondation ferait mieux de rejoindre webkit une fois pour toute, et de transposer ses technologies sur cette nouvelle base, histoire de prendre apple et google à leur propre jeu.
Le #1881093
bugmenot a écrit :

"le choix a été fait de se focaliser sur les navigateurs ayant bénéficié " d'importantes améliorations de sécurité au cours de l'année dernière. ""
=>Bref, Firefox a fait le choix de la stabilité et donc les kékés du Pwn2Own s'avouent incapables de trouver tout plein de nouvelles failles comme cela est coutume quand on n'arrête pas "d'innover" aka de reprogrammer la roue chaque année.


J'espère franchement que c'est ça. Je ne voudrais pas voir mourir Firefox de sa belle mort, il faut qu'il reste un concurrent sérieux à Chrome.
Le #1881094
C'est quand même une ancienne version de Firefox qui a été choisie par le projet Tor, alors...
Le #1881104
phebus a écrit :

C'est quand même une ancienne version de Firefox qui a été choisie par le projet Tor, alors...


C'est surtout la version ESR

Bon sinon j'ai enfin MAJ Opera (depuis la version 12.x), c'est pas trop horrible, ça a une tête de Chrome sur les bords (forcément...) mais ça a aussi un peu retrouvé une tête d'Opera.
Le #1881110
phebus a écrit :

C'est quand même une ancienne version de Firefox qui a été choisie par le projet Tor, alors...


ESR =/= ancienne version
Le #1881112
Je reste sur Firefox malgré tout.
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]