Le concours annuel de hacking Pwn2Own a été si impitoyable à rosser la sécurité des produits informatiques populaires que la plupart des vendeurs gémissent quand ils apprennent que leurs marchandises seront saisies.
Pas Google.
Lorsque la société a récemment appris que son navigateur Chrome n’allait pas être inclus dans la compétition cette année, qui est prévue pour le mois prochain, il a demandé aux organisateurs de revoir – et a même offert 20.000 $ de prix – au-dessus des $ 15 000 déjà promis – à tout candidat qui parviendrait à exploiter une faille dans le navigateur open-source. Chrome a été exclu à l’origine parce qu’il est basé sur le même moteur (Webkit) qui est présent sur un autre produit du Pwn2Own, le navigateur Safari d’Apple.
“Cela montre une attitude mature au problème parce que Google sait que la libération effective de l’information est quelque chose qui rend juste la chose plus forte”, déclare Dragos Ruiu, organisateur de la conférence sur la sécurité CanSecWest, qui accueille le concours.
Lors de l’événement l’an dernier, Chrome a été le seul navigateur qui est entré et n’ayant pas reçu de coup dur. En revanche, Safari, Internet Explorer de Microsoft, et Firefox de Mozilla ont tous succombé à des exploits qui leur a permis d’être contrôlés à distance.
Il sera intéressant de voir comment s’en tirera Chrome cette fois-ci, qui sera présent pour la cinquième année de Pwn2Own. L’année dernière, selon les chercheurs, la sandbox de sécurité concernant le navigateur de Google a été si difficile à vaincre que le prix à gagner valait beaucoup plus que les $ 10 000 disponibles pour chaque navigateur. Depuis, Google a également versé plus de $ 14,000 en prime pour les chercheurs qui ont découvert des failles de sécurité dans le navigateur.
Mais dans les 12 mois qui sont passés, la technologie est devenue beaucoup moins exotique, comme les fabricants de logiciels tels que Adobe ont ajouté une sandboxe à l’application Reader et les chercheurs ont trouvé des moyens pour contourner la protection.
“Honnêtement, je ne vois pas comment il ne peut pas être piraté”, a déclaré Ruiu, se référant à Google Chrome. “Un lot ou les gens ont un intérêt en prenant le temps et en regardant ce qu’il faut pour se sortir d’un environnement VM-like. Il ya plus techniques et les gens sont plus disposés à discuter de ces techniques. “
Le concours de l’année dernière a payé 10.000 dollars pour le premier concurrent piratant l’un des navigateurs admissibles avec succès, qui comprenaient IE, Firefox, Safari et Chrome. Il a également payé 15.000 dollars pour les attaques sur l’un des quatre principaux smartphones. Le règlement du concours de cette année sera à peu près le même, sauf qu’un téléphone fonctionnant sous le système d’exploitation Symbian a été remplacé par un Windows Phone 7. Les prix pour les hacks de navigateur ont également été augmentés à 15.000 $.
Les participants auront également l’avantage d’utiliser un isoloir par radiofréquence afin qu’ils puissent cibler directement les processeurs des téléphones bande de base, qui sont utilisés pour envoyer et recevoir des signaux radio, les appareils communiquent sur les réseaux cellulaires. En revanche, la plupart des exploits à ce jour ont attaqué le CPU afin d’exécuter des applications d’un téléphone.
Les exploits en bande de base nécessitent à l’attaquant de simuler un réseau cellulaire, un exploit qui est devenu facile à réaliser au cours des dernières années, mais qui se heurte souvent l’encontre des lois d’écoute électronique. L’isoloir est comme un espace préservé et restreint qui permet à un attaquant de mettre en place son propre réseau cellulaire à l’intérieur un petit périmètre sans affecter les ondes à l’extérieur.
Le dirigeant sera Ralf-Philipp Weinmann, associé de recherche à l’Université du Luxembourg qui a récemment démontré des attaques en bande de base contre une variété de smartphones, y compris les iPhones et les appareils fonctionnant sous Google Android OS.
“Je sais pertinemment qu’il va être là et qu’il va être l’un des candidats”, a déclaré Ruiu.
Article traduit en Français depuis le site The Register.
“Lors de l’événement l’an dernier, Chrome a été le seul navigateur qui est entré et n’ayant pas reçu de coup dur. En revanche, Safari, Internet Explorer de Microsoft, et Firefox de Mozilla ont tous succombé à des exploits qui leur a permis d’être contrôlés à distance.”
Et Opera dans tout ca ? Ce n’est pas un vrai navigateur web ?
Ben la phrase est pourtant clair…
Opera ne semble pas avoir été compromis lors de cet évènement.
Les commentaires sont fermés.