Comme chaque année, le concours Pwn2Own invite les experts en sécurité du monde entier à venir tester leurs connaissances informatiques dans un but bien précis : percer les défenses des navigateurs. L’édition 2014 n’aura pas échappé d’ailleurs à la règle puisque tous ont vu leurs défenses percées.
Tous les navigateurs sont tombés
L’édition 2014 du concours Pwn2Own réunissait comme d’habitude des équipes venues s’affronter sur le terrain des failles de sécurité. Objectif ultime : percer les défenses des navigateurs pour obliger, si possible, le système d’exploitation à déclencher un code arbitraire. Il est de tradition qu’aucun navigateur ne puisse sortir « vivant » de ce concours, et la nouvelle édition n’a pas fait exception. Malheureusement, certains en ont fait les frais plus que d’autres.
Le concours Pwn2Own est co-organisé par Google et HP, via sa Zero Day Initiative (ZDI). Le ton avait été donné dès le début puisque Google a inauguré la compétition en jetant à bas les défenses d’un Safari 7 sur un Mac équipé d’un Mavericks entièrement mis à jour, provoquant le lancement de la Calculette. Même chose pour Internet Explorer 11 sur un Windows 8.1 x64 lui aussi parfaitement à jour : l’équipe de ZDI a réussi à faire lancer la calculatrice en mode scientifique par le système. Dans les deux cas, cela impliquait un contournement de la sandbox.
De George Hotz aux français de VUPEN
Mais même si tous les navigateurs ont fini par tomber, c’est tout de même Firefox qui aura le plus subi les attaques des experts réunis pour l’occasion. Le navigateur de Mozilla a en effet été violenté à quatre reprises, dont une fois par George Hotz. Si le nom vous semble familier, c’est qu’il s’agit du fameux développeur qui avait créé des jailbreaks pour la PlayStation 3 et iOS et avait notamment été poursuivi par Sony. Dans tous les cas, l’exploitation des failles a conduit soit à une exécution de code, soit à une élévation de privilèges.
On signalera également qu’une équipe en particulier ressort une nouvelle fois grandie de ce concours : les français de VUPEN. Ils ont absorbé à eux seuls plus d’un tiers des récompenses (dont le total avoisinait tout de même les 850 000 dollars). Ils ont remporté une belle série de victoires, enchainant les navigateurs (Chrome, Firefox et Internet Explorer) avec les plug-ins que sont Flash et Reader, tous deux provenant d’Adobe. Les cinq attaques ont abouti à chaque fois à une exécution de code arbitraire. L’équipe était même venue selon elle avec vingt failles 0day et n’en a utilisé que onze.
Personne n'a tenté de défaire Internet Explorer 11 avec EMET
Mais même si Google est co-organisateur de l’événement, la société a montré que les défenses de Safari n’étaient pas parfaites et souhaite visiblement que Chrome apparaisse comme une solution parfaitement sécurisée, le navigateur est tombé presque deux fois. « Presque » car la première attaque de VUPEN a fonctionné, tandis que la seconde, effectuée par un participant anonyme, n’a reçu qu’une victoire partielle car elle était basée sur une vulnérabilité déjà connue. Par ailleurs, l’attaque de VUPEN a été créditée de 150 000 dollars à elle seule car elle comportait un avantage évident : elle était valable sur tous les navigateurs embarquant les moteurs de rendu Webkit et Blink. De fait, et même si cela n’a pas été tenté, Opera doit donc lui aussi être vulnérable.
Il est en outre important de préciser que toutes les épreuves n’ont pas été tentées. Il en est restée ainsi une qui n’a semblé attirer personne : Internet Explorer 11 avec EMET. Ce dernier, qui signifie Enhanced Mitigation Experience Toolkit, est un kit permettant d’activer, voire de forcer certaines protections.
Évidemment, toutes les failles exploitées ont été remontées à leurs éditeurs respectifs. Google est particulièrement intéressé par les résultats du concours puisque toute faille affectant Chrome touche également Chrome OS. Dans tous les cas, le travail mené par les experts devrait provoquer une arrivée de patchs correctifs rapidement dans les prochaines moutures des navigateurs et des plug-ins utilisés.
Commentaires (82)
#1
J’aime beaucoup le concept de ce genre d’évènement.
Utiliser l’expérience du plus grand nombres d’experts externes pour améliorer la sécurité de son produit. Le tout en offrant des récompenses suffisament élevées pour appâter le chaland.
Si ces évènements étaient bien plus répandus et fréquents (les géants du net ont une trésorie suffisante pour les récompenses), nombreux seraient les black hats tentés par un basculement vers le côté “clair” de la force.
Bien que nombreux étant ceux possèdant les 2 “chapeaux”.
#2
avec les plug-ins que sont Flash et Reader, tous deux provenant d’Adobe
Ces bonnes vieilles passoires
#3
Je me demande pourquoi personne n’a tente IE11 avec EMET.
#4
Et des attaques sans Flash et Reader, ça donne quoi ?
#5
#6
#7
Tjr intéressantes ces news… Vous auriez pu étoffer un peu pourquoi Firefox a pris plus cher que les autres…. Pkoi et comment….
#8
L’équipe était même venue selon elle avec vingt failles 0day et n’en a utilisé que onze.
Ce serait dommage de pas avoir une petite faille sous le coude.
#9
#10
Je me demande d’ailleurs comment se positionneent ces fameux gains quand il s’agit de sociétés.
En effet, cela est-il considéré comme un simple gain non imposable ou comme un revenu tiré d’une prestation ?
#11
avec les plug-ins que sont Flash et Reader, tous deux provenant d’Adobe
Il n’y a qu’une explication possible : l’un des employés de VUPEN est aussi employé de l’équipe Sécurité de chez Adobe
Ou alors : Adobe se fout royalement de la sécurité et des performances et se reprose tranquillement sur ses lauriers. J’hésite.
#12
Est-ce que des tests ont été menés avec d’autres noyaux de ouïne (genre MacOS, Linux, *BSD), et avec un /home en noexec (pour les systèmes qui le peuvent) ? Juste par curiosité, en amateur…
#13
Je n’aime déjà pas les cookies, mais si on bloque tout, on ne voit plus rien, si méchant truc en profite, ce n’est pas la faute au navigateur, mais à celui qui a ouvert les vannes.
A-t-on vraiment le temps de réfléchir “acceptez-vous AMu88z0lI2C (un truc venu d’où on ne sait où, mais qui sans ça n’affiche rien ?) ? (à part faire une recherche ou passivement accepter°, là est tout le problème de l’infiltration sur nos machines)
° la complexité : le fichier existe clean et/ou pas clean : le dilemme
#14
[troll on]
" />
Internet Explorer est une faille en lui même, inutile de le tester.
[troll off]
C’est une très bonne initiative. En revanche j’ai pas compris pourquoi l’équipe VUPEN n’a dévoilé que 11 failles sur 20. Ils gardent quelques failles pour leur intérêt personnel ?
#15
#16
#17
#18
#19
#20
Si Firefox s’est retrouvé violenté, en est-til de même pour Waterfox du coup ??
#21
#22
#23
#24
#25
Vous faites comment pour avoir des virus?
Perso, j’ai un “antivirus” MSE pour la forme. Mais à moins de le faire exprès, je n’ai pratiquement jamais eu de virus en 20ans d’informatique. J’ai eu quelque mal/publiware a l’époque 98/XP. Mais pas de virus.
#26
#27
#28
#29
#30
#31
#32
#33
#34
#35
#36
#37
#38
#39
Pff les pirates tout moisis, ils démarrent la calculatrice
" />, moi j’te pirate ton compte facebook quand tu veux 
" />
#40
#41
Et tous les navigateurs seront patchés et mieux sécurisés, et les utilisateurs seront les grands gagnants. Merci messieurs
" />
#42
Personne n’a tenté de défaire Internet Explorer 11 avec EMET
J’ai même l’impression que personne ne s’est attaqué à EMET tout court, je n’ai pas vu de Chrome+EMET, Firefox+EMET ou Safari+EMET tomber, si ?
Ceci dit, même si ça a l’air de corser les choses, EMET n’est pas infaillible non plus :
http://www.lemondeinformatique.fr/actualites/lire-l-outil-de-securite-emet-de-mi…
#43
#44
La news oublie de préciser une victime importante:
ChromeOS est tombé. Deux fois.
(1 pwn complet par geohotz avec persistance aux reboots et 1 autre jugé partiel car il utilisait une faille démontrée par quelqu’un d’autre).
https://plus.google.com/app/basic/stream/z12ui5w5go30uv3gh04cjt5wyojojfsal34
au final le grand vainqueur de cette compétition c’est Microsoft.
personne n’a exploité de 0Day dans IE avec EMET, et ce malgré 150 000$ de recompense, le meme montant que pour ChromeOS.
au final, ça pose une question intéressante sur l’intérêt de chromeOS, si meme dans son principal point fort il n’est pas le meilleur. Ca coute moins cher d’installer EMET gratuit et d’acheter un chromebook et de se castrer au passage!
pour ceux qui veulent savoir concrètement ce qu’est EMET:
http://www.julien-manici.com/blog/EMET-protection-against-flaws-Internet-Explore…
#45
. Ca coute moins cher d’installer EMET gratuit et d’acheter un chromebook et de se castrer au passage!
/
merde l’edit marche plus, je peux pas corriger ma faute de frappe
Ca coute moins cher d’installer EMET gratuit QUE d’acheter un chromebook et de se castrer au passage!
#46
#47
#48
#49
#50
#51
#52
#53
#54
#55
#56
#57
#58
#59
#60
J’essaye de comprendre… en gros si moi, pauvre péon qui ne comprend pas un traître mot de code, j’installe ce pack EMET sur un windows équipé d’IE à jour, j’empêche l’immense majorité des hack disponibles de mon pc à travers le navigateur, c’est ça ?
En contrepartie, y’a des concessions à faire pour la navigation ? (lenteur, scripts bloqués,… ?)
De ce que j’en ai compris jusque-là, ça a l’air d’être un super outil à installer chez toutes les entreprises / inconscients /… pour évite les menaces non ?
#61
#62
#63
#64
#65
#66
#67
#68
Alors, les rumeurs parle de failles liées au générateur des objets c++ (donc du compilateur), c’est celles-ci qui ont été utilisées?
#69
Le navigateur de Mozilla a en effet été violenté à quatre reprises, dont une fois par George Hotz.
Bonsang ! Mais que fait la Ligue de protection des browsers© ?!
#70
Par ailleurs, l’attaque de VUPEN a été créditée de 150 000 dollars à elle seule car elle comportait un avantage évident : elle était valable sur tous les navigateurs embarquant les moteurs de rendu Webkit et Blink. De fait, et même si cela n’a pas été tenté, Opera doit donc lui aussi être vulnérable.
Putain non seulement il est pas invité, mais en plus il se fait tabasser quand même… Toutes mes condoléances aux familles.
#71
#72
#73
#74
#75
#76
VUPEN,ne serait-ce pas la bandes de traîtres finis qui vendent des failles zéro-day à la NSA afin que celle-ci pirate le monde entier, à commencer par les Européens?
#77
#78
#79
Donc firefox est le seul navigateur sans sandbox?
#80
#81
Pour ceux qui aiment
" />
" />
http://dnslookup.fr/vupen.com
Il y a des choses intéressantes