google hackingChaque année la conférence CanSecWest qui se tient à Vancouver au Canada, réunit nombre d'experts venus échanger autour de leur sujet de prédilection : la sécurité informatique. Dans une ambiance décontractée les discussions d'un niveau technique élevée fusent, nos experts rivalisant d'ingéniosité et désireux de démontrer à leurs pairs toute l'étendue de leurs compétences. A l'issue de cette conférence qui cette année a reçu le soutien de Microsoft, Google ou encore Cisco, il n'est ainsi pas rare que toute une série de vulnérabilités soient dévoilées.

Un peu en marge et à l'initiative de la société Tipping Point, filiale de l'équipementier 3Com, est organisé ce qui s'apparente à un concours de hacking. Du 26 au 28 mars 2008, trois machines et trois OS bénéficiant des toutes dernières mises à jour de sécurité vont devoir subir les attaques à distance et tentatives de pénétration de hackers très motivés.

Seront ainsi mis à l'épreuve du feu et disposés côte à côte, trois portables :
  • Fujitsu U810 fonctionnant sous Windows Vista Ultimate SP1
  • MacBook Air d'Apple avec Mac OS X 10.5.2 Leopard
  • VAIO VGN-TZ37CN intégrant la distribution Linux Ubuntu 7.10

Que du dernier cri donc et 30 minutes seulement accordées à chaque prétendant pour le hack du siècle... enfin du mois ou plutôt de la semaine. La partie ne sera pas aisée à remporter car outre le chronomètre, le concurrent ne pourra tirer parti d'une même vulnérabilité jusqu'alors inconnue qu'une seule fois (une vulnérabilité différente par machine), via des attaques conduites par le biais d'un câble croisé ou d'un système utilisant des fréquences radioélectriques. En sus de sa gloire éphémère, le vainqueur - premier à réussir et tant pis pour les autres qui attendaient leur tour - recevra 25 000 dollars de prix.

Ce concours peut paraître " fun " mais son utilité est réelle pour des éditeurs soucieux de connaître les faiblesses de leurs produits.

N.B : les applications tierces présentes sur les machines pourront également servir de vecteurs d'attaques d'où tout un ensemble de navigateurs Web, clients de courrier électronique, clients de messagerie instantanée, etc.