CanSecWest : la sécurité de Chrome est tombée par deux fois

Chaque année, la conférence CanSecWest attire de nombreux spécialistes de la sécurité informatique. Le « clou » du spectacle est toujours le concours Pwn2Own qui réunit les hackers autour d’un thème très simple : percer les défenses des navigateurs et remporter des récompenses basées sur leurs performances. Plusieurs évènements marquants sont à signaler cette année, dont les défenses de Chrome percées à deux reprises.

chrome

Chrome battu dans un premier concours...

Le navigateur de Google a été le premier à tomber sous les assauts des hackers, et ceci dans deux contextes différents, avec un total de quatre failles 0-day. Mais attention : toutes ces failles n’ont pas été utilisées au sein du concours Pwn2Own. Dans ce dernier, c’est une équipe française de chez VUPEN qui a remporté le concours, tout en prouvant que Chrome n’avait rien d’invincible.

L’équipe de hackers a utilisé deux failles inconnues de Chrome pour prendre le contrôle sur une machine équipée de Windows 7 Service Pack 1 x64 entièrement à jour. La première faille a permis de contourner deux protections de Windows : DEP (Data Execution Prevention) et ASLR (Address Space Layout Randomization).

La seconde faille a permis quant à elle de percer les défenses de la sandbox de Chrome, alors que c’était elle justement qui avait permis au navigateur l’année dernière de rester inviolé. Une fois les deux failles utilisées, il a « suffi » de faire naviguer Chrome vers les eaux ténébreuses d’un site spécialement conçu pour l’occasion. Résultat : sitôt arrivé sur le site, la calculette Windows apparaît à l’écran, sans interaction de l’utilisateur.

Comme l’a expliqué le responsable Chaouki Bekrar, les chercheurs de VUPEN sont venus avec des failles 0-day pour les quatre navigateurs en compétition, à savoir Chrome, Internet Explorer, Safari et Firefox. Le choix de Chrome s’est fait sur la seule base du statut de forteresse du butineur de Google et donc sur l’envie d’en découdre.

Mais la société VUPEN, si elle estime que la sandbox de Chrome est la plus solide actuellement, ne fournira les détails que d’une seule des deux failles, celle permettant le contournement des protections DEP et ASLR. L’autre, qui touche à sandbox de Chrome, sera réservée aux clients de VUPEN.

C’est précisément ce fonctionnement du concours Pwn2Own que Google a critiqué puisque les hackers n’ont pas obligation de révéler les détails des failles utilisées. Au sein de la même conférence CanSecWest, la firme a donc son propre concours, baptisé Pwnium.

... puis dans un deuxième

Le concours Pwnium a ceci de spécifique qu’il est consacré à Google et que les détails des failles utilisées doivent être ensuite révélés. Évidemment, c’est du tout bénéfice pour Google qui obtient ainsi de précieuses informations sur son produit. Toutefois, le concours est basé sur le donnant-donnant et Google sort donc le portefeuille en cas de victoire.

Et la victoire a justement été remportée par un chercheur russe du nom de Sergey Glazunov. Il s’agissait, là encore, d’une combinaison de deux failles 0-day, mais dont le fonctionnement était différent de la technique de VUPEN. En effet, Glazunov n’a pas percé à travers la sandbox de Google, il l’a « simplement » contournée.

Justin Schuh, de l’équipe de sécurité de Chrome, s’est dit « très impressionné » par Glazunov, indiquant que la technique « requérait une connaissance profonde du fonctionnement de Chrome ». Et le russe va donc repartir du concours avec tout de même 60 000 dollars en poche.

Mais si vous vous dites qu’il y a visiblement un absent dans ces concours, c’est bien le cas : Charlie Miller.

Charlie Miller déplore les changements de règles du concours Pwn2Own

Charlie Miller est un chercheur en sécurité qu’on ne présente plus et qui a gagné de nombreuses fois divers concours de ce type. Alors qu’il était attendu à l’édition 2012 de Pwn2Own, Miller a indiqué qu’il n’y participerait à cause d’un changement très important sur une règle particulière.

Les candidats doivent obligatoirement arriver sans aucun matériel en effet. Ils viennent les mains vides et doivent tout coder sur place. Selon Miller, cette cassure avec les habitudes favorise grandement le travail d’équipe. Cela explique selon lui la victoire de VUPEN puisque les tâches peuvent être réparties en travaux parallèles. 

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !