La sécurité est décidément bien l'école de l'humilité. Organisé en marge de la conférence CanSecWest, le concours de hacking Pwn2Own de Tipping Point livre ses premiers enseignements avec la chute des navigateurs Safari et Internet Explorer 8.

Fonctionnant sur un nouveau MacBook Air 13 pouces équipé Mac OS X 10.6.6 ( 64-bit ), le navigateur d'Apple a été le premier à devoir subir un assaut. Une équipe de la société française de sécurité Vupen a réussi avec succès à exploiter une faille 0-day dans Safari 5.0.3 pour empocher 15 000 dollars et le MacBook Air.

La faille, dont la teneur sera tenue secrète et communiquée à Apple, se trouvait dans le moteur de rendu open source WebKit. Un exploit a permis lors d'une navigation sur une page Web spécialement conçue de lancer la calculatrice de Mac OS X et d'écrire un fichier sur le disque de l'ordinateur, sans même planter le navigateur. Le co-fondateur de Vupen, Chaouki Bekrar, a indiqué à ZDNet que la partie la plus difficile n'a pas été de découvrir la faille mais de concevoir l'exploit. La littérature Mac en la matière est en effet assez pauvre.

Peu de temps avant le début des hostilités, Apple a livré, outre iOS 4.3, une mise à jour 5.0.4 de Safari. Les chercheurs en sécurité informatique ont préparé leurs armes pour des configurations qui ont été gelées la semaine dernière. A priori, Safari 5.0.4 n'aurait rien changé au résultat des courses. Sur Twitter, Vupen a indiqué : " Apple vient de publier Safari 5.0.4 et iOS 4.3 quelques minutes avant le concours Pwn2Own. Cela casse quelques exploits mais pas tous ! "

La deuxième victime du concours a été Internet Explorer 8 ( 32-bit ) sur un ordinateur portable Sony Vaio équipé Windows 7 64-bit. Vupen avait bien préparé un exploit mais le premier à entrer en lice a été le chercheur en sécurité irlandais Stephen Fewer. C'est lui qui a raflé la mise. Il a utilisé trois différentes vulnérabilités afin de lancer la calculatrice Windows.

Comme pour l'exploit avec Safari, les protections DEP ( Data Execution Prevention ) et ASLR ( Address Space Layout Randomization ) ont été contournées. Stephen Fewer a eu recours à deux failles 0-day dans IE8 pour obtenir un code d'exécution et a poursuivi avec une troisième faille pour s'évader du mode protégé de IE.


Pas de challenger pour Google Chrome
Le troisième navigateur à être attaqué aurait dû être Google Chrome. Néanmoins, le participant enregistré au concours pour mener une attaque ne s'est pas présenté. Faute de concurrents - ou trop difficile à prendre à défaut dans les conditions posées par Google - Google Chrome reste donc invaincu. Au deuxième jour du concours, ce sera à Firefox 3.6 de passer l'épreuve du feu, puis viendra le temps de s'attaquer aux smartphones.