Pwn2OWn 2014 : tous les navigateurs mis à mal
ven, 14/03/2014 - 15:37
Comme chaque année, s'est déroulée, en marge de la conférence mondiale sur la sécurité de Vancouver, le concours de hacking Pwn2Own.
Le but de ce concours est de démontrer l'existence de vulnérabilités dans les navigateurs, avec de substantielles récompenses à la clé.
La société française Vupen a pour habitude de s'illustrer à ce concours et ce fut une nouvelle fois le cas cette année. La société a touché près de 400 000 dollars pour ses exploits.
Dès le premier jour elle a remporté une prime de 100 000 dollars en cassant d'entrée de jeu Internet Explorer 11. Ceci au moyen d'un exploit complexe qui combine l'exploit plusieurs vulnérabilités pour finalement aboutir au contournement de la sandbox du navigateur, tournant au sein d'un Windows 8.1.
Firefox a été cassé par Vupen également. Cependant Chaouki Bekrar, le fondateur de la société, a tenu a souligné que les éditeurs de navigateurs sont bien loin de négliger la sécurité. Au contraire, selon lui, il est de plus en plus difficile de mettre au point des exploits. Celui qui est venu à bout de Firefox a ainsi nécessité 60 millions de test pour être mis au point.
Firefox a été également hacké par deux autres candidats qui ont exploité d'autres failles et qui ont empoché 50 000 dollars.
Quant à Safari, ce sont (parmi d'autres) des employés de Google qui ont démontré un exploit permettant de sortir de la sandbox et de lancer la calculatrice sur Mac OS X.
Et Google Chrome ? Cassé lui aussi, par un participant anonyme qui a réussi à sortir de la sandox pour exécuter un code arbitraire.
La société Vupen est sortie grande gagnante du concours ainsi que nous l'avons dit, ce qui prouve sa compétence en la matière. Mais rappelons que cette société est controversée à la suite de l'affaire PRISM, car elle aurait été liée par contrat pendant au moins un an avec la NSA, période au cours de laquelle elle aurait fourni l'agence en exploits pour les usages que l'on sait.
Chaouki Bekra ne nie pas vendre des exploits de failles de sécurité, mais affirme ne le faire qu'à des démocraties et pays de confiance. Appréciation toute relative depuis l'affaire PRISM...