Concours Pwn2Own : Internet Explorer, Chrome et Firefox sont tombés

Et ce n'était que le premier jour 56

Comme chaque année, le concours de sécurité Pwn2Own rassemble les experts et hackers autour de la défense des navigateurs. Et comme à chaque nouvelle édition de l’évènement, tous les butineurs sont tombés sous les coups portés à leurs protections.

navigateurs piratage securite pwn2own

Année 2013, nouvelle hécatombe 

Internet Explorer, Chrome, Firefox et Safari sont allés comme chaque année subir les assauts puissants perpétrés par les hackers et experts de sécurité. Le concours Pwn2Own, qui prend place durant la conférence CanSecWest, réunit tous ceux qui veulent tester les défenses des butineurs, avec à la clé des récompenses sonnantes et trébuchantes. Et jusqu’à présent, tous les navigateurs ont d’ailleurs toujours trébuché.

Microsoft, Google, Mozilla et Apple savent que le concours est un temps fort, car les investissements en sécurité dans leurs produits vont être mis à rude épreuve. Aucun navigateur n’est jamais ressorti indemne de ce concours et cette année ne fait pas exception, les deux premiers jours ayant été une véritable hécatombe. Presque toutes les dernières moutures sont tombées, les règles considérant une victoire lorsqu’un code arbitraire parvient à être exécuté sans que le navigateur ne puisse en limiter l’impact.

Voici les prix prévus pour chaque cas :

  • Navigateurs
    • Google Chrome sur Windows 7 : 100 000 dollars
    • Internet Explorer :
      • Version 10 sur Windows 8 : 100 000 dollars
      • Version 9 sur Windows 7 : 75 000 dollars
    • Firefox sur Windows 7 : 60 000 dollars
    • Safari sur OS X (Mountain Lion) : 65 000 dollars
  • Plug-ins dans Internet Explorer 9 sur Windows :
    • Adobe Reader XI : 70 000 dollars
    • Adobe Flash : 70 000 dollars
    • Java : 20 000 dollars

Les sommes sont censées représenter le degré de difficulté de chaque épreuve. On remarque donc que les deux plus grosses récompenses concernent Chrome sous Windows 7 et Internet Explorer 10 sous Windows 8. À l’inverse, la plus petite somme est pour Java, ce qui n’étonnera pas ceux qui ont suivi la longue série d’actualités sur les failles à répétition de cet environnement multiplateformes.

Internet Explorer 10 et Chrome tombés au combat 

Les évènements marquants concernent donc les butineurs de Microsoft et Google. C’est notamment le cas d’Internet Explorer 10 sur Windows 8, du fait de sa relative nouveauté sur le marché. L’équipe qui en a percé les défenses est française : la société de sécurité Vupen. Il a fallu passer les défenses du navigateur mais également celles du système, ces dernières étant nombreuses avec notamment l’ASLR complet (Address Space Layout Randomization), qui change d’emplacement mémoire les composants importants d’une fois sur l’autre.

Pwn2Own

Pour y parvenir, l’équipe a utilisé en fait un assemblage de plusieurs vulnérabilités 0day. Autrement dit, des failles dont les experts étaient au courant, qui pouvaient être exploitées et dont Microsoft ne connaissait pas l’existence. Deux brèches en particulier ont été utilisées sur une Surface Pro pour qu’un code arbitraire soit exécuté en dehors de la sandbox, c’est-à-dire l’espace mémoire isolé dans lequel sont normalement cantonnées les instructions. On notera que la démonstration a été réalisée le premier jour et qu’elle a permis la prise de contrôle de la machine.

Chrome est également tombé dès la première journée. Comme pour Internet Explorer, il s’agit d’une synergie de plusieurs failles pour percer les défenses. Une technique de plus en plus utilisée d’ailleurs. Sur son blog, l’équipe de MWR Labs explique que l’exploitation peut se faire via une page web. L’exécution de code peut alors se faire, là encore, en-dehors de la sandbox du navigateur. L’élévation des privilèges pour le code se fait pour sa part au travers d’une faille dans le noyau.

Seul Safari reste dans la course 

Le concours n'est pas terminé puisqu'il reste encore la journée d'aujourd'hui pour abattre le dernier navigateur encore en lice. Car si Internet Explorer 10 et Chrome ont été vaincus, il en est de même pour Firefox, via Vupen à nouveau. Seul Safari reste donc dans la course pour l’instant. Toutefois, même s'il reste une journée, les organisateurs indiquent qu'aucune démonstration n'est prévue pour le navigateur d'Apple. Ils ne semblent d'ailleurs pas comprendre pourquoi : trop complexe ? Récompense pas assez intéressante ? Manque d'intérêt ? De fait, Safari pourrait bien être vainqueur, mais sans avoir mené une seule bataille.

Du côté des plug-ins, tous ont été vaincus, et notamment Java, qui a fait l'objet de quatre démonstrations séparées et toutes réussies, dont une encore une fois par les français de Vupen.

On rappellera que le concours est particulièrement important pour les éditeurs. Chaque fois qu’un navigateur tombe au combat, les auteurs de l’attaque fournissent tous les détails aux développeurs. Il s’agit d’une règle du Pwn2Own et y manquer empêche de toucher la récompense. Notez en outre que Chrome et Firefox ont déjà été mis à jour pour tenir compte des corrections.

Rendez-vous donc les prochains jours pour savoir si les quelques compétiteurs en lice réussiront à s’en sortir indemnes.

Publiée le 08/03/2013 à 11:16 - Source : HP
Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.

Soutenez nos journalistes

Le travail et l'indépendance de la rédaction dépendent avant tout du soutien de nos lecteurs.

Abonnez-vous
À partir de 0,99 €

Publicité


chargement
Chargement des commentaires...