Comme chaque année, le concours Pwn2Own invite les experts en sécurité du monde entier à venir tester leurs connaissances informatiques dans un but bien précis : percer les défenses des navigateurs. L’édition 2014 n’aura pas échappé d’ailleurs à la règle puisque tous ont vu leurs défenses percées.
Tous les navigateurs sont tombés
L’édition 2014 du concours Pwn2Own réunissait comme d’habitude des équipes venues s’affronter sur le terrain des failles de sécurité. Objectif ultime : percer les défenses des navigateurs pour obliger, si possible, le système d’exploitation à déclencher un code arbitraire. Il est de tradition qu’aucun navigateur ne puisse sortir « vivant » de ce concours, et la nouvelle édition n’a pas fait exception. Malheureusement, certains en ont fait les frais plus que d’autres.
Le concours Pwn2Own est co-organisé par Google et HP, via sa Zero Day Initiative (ZDI). Le ton avait été donné dès le début puisque Google a inauguré la compétition en jetant à bas les défenses d’un Safari 7 sur un Mac équipé d’un Mavericks entièrement mis à jour, provoquant le lancement de la Calculette. Même chose pour Internet Explorer 11 sur un Windows 8.1 x64 lui aussi parfaitement à jour : l’équipe de ZDI a réussi à faire lancer la calculatrice en mode scientifique par le système. Dans les deux cas, cela impliquait un contournement de la sandbox.
De George Hotz aux français de VUPEN
Mais même si tous les navigateurs ont fini par tomber, c’est tout de même Firefox qui aura le plus subi les attaques des experts réunis pour l’occasion. Le navigateur de Mozilla a en effet été violenté à quatre reprises, dont une fois par George Hotz. Si le nom vous semble familier, c’est qu’il s’agit du fameux développeur qui avait créé des jailbreaks pour la PlayStation 3 et iOS et avait notamment été poursuivi par Sony. Dans tous les cas, l’exploitation des failles a conduit soit à une exécution de code, soit à une élévation de privilèges.
On signalera également qu’une équipe en particulier ressort une nouvelle fois grandie de ce concours : les français de VUPEN. Ils ont absorbé à eux seuls plus d’un tiers des récompenses (dont le total avoisinait tout de même les 850 000 dollars). Ils ont remporté une belle série de victoires, enchainant les navigateurs (Chrome, Firefox et Internet Explorer) avec les plug-ins que sont Flash et Reader, tous deux provenant d’Adobe. Les cinq attaques ont abouti à chaque fois à une exécution de code arbitraire. L’équipe était même venue selon elle avec vingt failles 0day et n’en a utilisé que onze.
Personne n'a tenté de défaire Internet Explorer 11 avec EMET
Mais même si Google est co-organisateur de l’événement, la société a montré que les défenses de Safari n’étaient pas parfaites et souhaite visiblement que Chrome apparaisse comme une solution parfaitement sécurisée, le navigateur est tombé presque deux fois. « Presque » car la première attaque de VUPEN a fonctionné, tandis que la seconde, effectuée par un participant anonyme, n’a reçu qu’une victoire partielle car elle était basée sur une vulnérabilité déjà connue. Par ailleurs, l’attaque de VUPEN a été créditée de 150 000 dollars à elle seule car elle comportait un avantage évident : elle était valable sur tous les navigateurs embarquant les moteurs de rendu Webkit et Blink. De fait, et même si cela n’a pas été tenté, Opera doit donc lui aussi être vulnérable.
Il est en outre important de préciser que toutes les épreuves n’ont pas été tentées. Il en est restée ainsi une qui n’a semblé attirer personne : Internet Explorer 11 avec EMET. Ce dernier, qui signifie Enhanced Mitigation Experience Toolkit, est un kit permettant d’activer, voire de forcer certaines protections.
Évidemment, toutes les failles exploitées ont été remontées à leurs éditeurs respectifs. Google est particulièrement intéressé par les résultats du concours puisque toute faille affectant Chrome touche également Chrome OS. Dans tous les cas, le travail mené par les experts devrait provoquer une arrivée de patchs correctifs rapidement dans les prochaines moutures des navigateurs et des plug-ins utilisés.
