Hacking au Pwn2Own : Google Chrome n'a pas résisté

Le concours de hacking Pwn2Own a été sans pitié. Après le deuxième et dernier jour de la compétition, l'ensemble des navigateurs ont cédé face aux attaques. Du côté des plugins, seul Java d'Oracle a fait exception à la règle pour la simple raison qu'il n'y a pas eu de tentative d'attaque (le participant inscrit - Vupen - s'est désisté au dernier moment).

Au total, ce sont 14 vulnérabilités qui ont été découvertes (bien en amont pour préparer le concours) et exploitées avec succès. La bonne nouvelle est qu'elles ne seront pas divulguées publiquement et les éditeurs pourront les combler grâce aux informations qui leur sont communiquées. Attendez-vous donc à une prochaine salve de mises à jour.

Le Pwn2Own fait une nouvelle fois la démonstration que des hackers motivés peuvent parvenir à leurs fins. Ce sont 850 000 dollars qui ont été reversés mais il faut avoir à l'esprit qu'il existe une " concurrence " avec un marché noir pour la revente d'exploits 0-day. C'est notamment pourquoi des programme dits de Bug Bounty ont été mis en place afin d'éviter des tentations.

Au deuxième jour de la compétition, Safari - qui avait déjà cédé dans le Pwn4Fun - et Google Chrome sont venus s'ajouter à la liste des navigateurs hackés. Même le navigateur de Google pourtant réputé pour sa protection sandbox aboutie aura donc failli.

Un des grands gagnants du concours est le Français Vupen qui empoche à lui seul 400 000 dollars. Cette fois-ci, il n'y aura pas de contrat avec la NSA. Pour le dernier jour du Pwn2Own, l'équipe de Vupen est notamment parvenue à hacker Chrome avec une vulnérabilité d'utilisation après libération dans le moteur de rendu Blink et un contournement de sandbox. Rappelons qu'une protection sandbox sert à isoler l'exécution de divers éléments du reste de l'environnement.

De l'aveu même de Vupen et selon des propos recueillis par Threatpost, il devient de plus en plus difficile d'exploiter des vulnérabilités et trouver des 0-day dans les navigateurs, et en particulier sur Windows 8.1.

À noter qu'une vieille connaissance du jailbreak d'iPhone et de la PlayStation a participé au Pwn2Own. George Hotz - alias GeoHot - a décroché 50 000 dollars en s'attaquant avec succès à Firefox.