Pwn2Own : tous les navigateurs sont encore tombés cette année

Le concours Pwn2Own permet chaque année de récompenser ceux qui parviennent à trouver, puis à exploiter des failles dans les navigateurs. Cette compétition permet aux éditeurs concernés d’accélérer également la découverte des brèches. Comme chaque année, l’édition 2015 n’a épargné personne : tous les navigateurs ont vu leurs défenses percées.

110 000 dollars pour une unique faille dans Chrome

Comme en 2014, tous les navigateurs sont donc tombés en fin de semaine dernière devant les assauts des hackers durant la compétition Pwn2Own. Le concours est examiné de près puisque les participants doivent utiliser une ou plusieurs failles et se débrouiller pour percer les défenses des logiciels. Or, impossible d’utiliser des failles « conventionnelles » puisque les systèmes servant aux tests ont tous les derniers patchs. Conséquence : les brèches utilisées sont inconnues des éditeurs et sont forcément de type 0-day. Notez que Flash et Reader, tous deux d’Adobe, font partie des cibles potentielles en tant que plugins très couramment utilisés.

On retrouvait donc Internet Explorer, Chrome, Firefox et Safari, tous disponibles dans leur dernière mouture. À l’exception de Safari, tous étaient accessibles sur une machine sous Windows 8.1, là encore avec tous les correctifs disponibles. Et tous sont tombés : aucun navigateur n’a pu se targuer d’avoir résisté au savoir-faire des concurrents, dont l’un s’est particulièrement démarqué. Jung Hoon Lee, chercheur coréen en sécurité (pseudonyme « lokihardt »), a ainsi remporté 110 000 dollars en quelques minutes seulement, alors qu’il travaillait seul. Un record.

Pour y parvenir, il a tout simplement exploité un dépassement de mémoire tampon dans Chrome, dans sa dernière révision stable aussi bien que dans sa plus récente bêta. La performance lui a permis d’amasser tout d’abord 75 000 dollars issus du concours proprement dit. Mais la méthode utilisée, qui s’est appuyée sur deux bugs dans le noyau Windows, lui a permis d’engranger également 25 000 dollars supplémentaires. Quant aux 10 000 dollars restants, ils ont été donnés directement par Google, dans le cadre de son Project Zero, pour avoir pu reproduire l’exploitation sur Chrome bêta.

Internet Explorer, Firefox, Safari, Flash, Reader : aucun n'a pu résister

Il ne lui a pas fallu plus de deux minutes pour réaliser sa technique, signe qu’elle avait été largement préparée en amont. HP, dont la Zero Day Initiative sponsorise le concours, note avec amusement que cette performance a permis à Lee d’engranger l’argent à la vitesse de « 916 dollars par seconde ». D’autant que cette somme a été complétée plus tard par 65 000 autres dollars, provenant cette fois de l’exploitation d’une faille TOCTOU (time-of-check to time-of-use) dans Internet Explorer 11 en 64 bits. Il a ainsi pu obtenir des privilèges de lecture/écriture dans le navigateur de Microsoft, en utilisant une faille JavaScript pour s’échapper de la sandbox, qui isole normalement le processus du reste du système.

Notez également que le même Jung Hoon Lee a percé les défenses de Safari sur Mac, lui octroyant 50 000 dollars supplémentaires, pour un total de 225 000 dollars durant la compétition. Il s’agit d’un record, car les sommes élevées sont d’ordinaire réservées à des équipes de plusieurs chercheurs et/ou hackers. Quand on sait que le concours Pwn2Own a versé cette année un total de 557 500 dollars pour 21 failles, on se rend mieux compte de la performance du chercheur coréen, qui totalise plus de 40 % des gains totaux.

Voici d’ailleurs la répartition des failles trouvées :

• Windows : 5 failles
• Internet Explorer 11 : 4 failles
• Firefox : 3 failles
• Adobe Reader : 3 failles
• Adobe Flash : 3 failles
• Safari : 2 failles
• Chrome : 1 faille

Comme d'habitude, les résultats du concours seront suivis par des mises à jour rapprochées pour tous les navigateurs et produits concernés, Firefox ayant déjà reçu son correctif (mouture 36.0.4).