Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Pwn2Own : tous les navigateurs sont encore tombés cette année

Pour le plus grand bonheur (et gain financier) d'un chercheur coréen
Logiciel 3 min
Pwn2Own : tous les navigateurs sont encore tombés cette année
Crédits : Павел Игнатов/iStock/Thinkstock

Le concours Pwn2Own permet chaque année de récompenser ceux qui parviennent à trouver, puis à exploiter des failles dans les navigateurs. Cette compétition permet aux éditeurs concernés d’accélérer également la découverte des brèches. Comme chaque année, l’édition 2015 n’a épargné personne : tous les navigateurs ont vu leurs défenses percées.

110 000 dollars pour une unique faille dans Chrome

Comme en 2014, tous les navigateurs sont donc tombés en fin de semaine dernière devant les assauts des hackers durant la compétition Pwn2Own. Le concours est examiné de près puisque les participants doivent utiliser une ou plusieurs failles et se débrouiller pour percer les défenses des logiciels. Or, impossible d’utiliser des failles « conventionnelles » puisque les systèmes servant aux tests ont tous les derniers patchs. Conséquence : les brèches utilisées sont inconnues des éditeurs et sont forcément de type 0-day. Notez que Flash et Reader, tous deux d’Adobe, font partie des cibles potentielles en tant que plugins très couramment utilisés.

On retrouvait donc Internet Explorer, Chrome, Firefox et Safari, tous disponibles dans leur dernière mouture. À l’exception de Safari, tous étaient accessibles sur une machine sous Windows 8.1, là encore avec tous les correctifs disponibles. Et tous sont tombés : aucun navigateur n’a pu se targuer d’avoir résisté au savoir-faire des concurrents, dont l’un s’est particulièrement démarqué. Jung Hoon Lee, chercheur coréen en sécurité (pseudonyme « lokihardt »), a ainsi remporté 110 000 dollars en quelques minutes seulement, alors qu’il travaillait seul. Un record.

Pour y parvenir, il a tout simplement exploité un dépassement de mémoire tampon dans Chrome, dans sa dernière révision stable aussi bien que dans sa plus récente bêta. La performance lui a permis d’amasser tout d’abord 75 000 dollars issus du concours proprement dit. Mais la méthode utilisée, qui s’est appuyée sur deux bugs dans le noyau Windows, lui a permis d’engranger également 25 000 dollars supplémentaires. Quant aux 10 000 dollars restants, ils ont été donnés directement par Google, dans le cadre de son Project Zero, pour avoir pu reproduire l’exploitation sur Chrome bêta.

Internet Explorer, Firefox, Safari, Flash, Reader : aucun n'a pu résister

Il ne lui a pas fallu plus de deux minutes pour réaliser sa technique, signe qu’elle avait été largement préparée en amont. HP, dont la Zero Day Initiative sponsorise le concours, note avec amusement que cette performance a permis à Lee d’engranger l’argent à la vitesse de « 916 dollars par seconde ». D’autant que cette somme a été complétée plus tard par 65 000 autres dollars, provenant cette fois de l’exploitation d’une faille TOCTOU (time-of-check to time-of-use) dans Internet Explorer 11 en 64 bits. Il a ainsi pu obtenir des privilèges de lecture/écriture dans le navigateur de Microsoft, en utilisant une faille JavaScript pour s’échapper de la sandbox, qui isole normalement le processus du reste du système.

Notez également que le même Jung Hoon Lee a percé les défenses de Safari sur Mac, lui octroyant 50 000 dollars supplémentaires, pour un total de 225 000 dollars durant la compétition. Il s’agit d’un record, car les sommes élevées sont d’ordinaire réservées à des équipes de plusieurs chercheurs et/ou hackers. Quand on sait que le concours Pwn2Own a versé cette année un total de 557 500 dollars pour 21 failles, on se rend mieux compte de la performance du chercheur coréen, qui totalise plus de 40 % des gains totaux.

Voici d’ailleurs la répartition des failles trouvées :

  • Windows : 5 failles
  • Internet Explorer 11 : 4 failles
  • Firefox : 3 failles
  • Adobe Reader : 3 failles
  • Adobe Flash : 3 failles
  • Safari : 2 failles
  • Chrome : 1 faille

Comme d'habitude, les résultats du concours seront suivis par des mises à jour rapprochées pour tous les navigateurs et produits concernés, Firefox ayant déjà reçu son correctif (mouture 36.0.4).

47 commentaires
Avatar de athlonx2 INpactien
Avatar de athlonx2athlonx2- 24/03/15 à 09:18:31

"Pwn2Own : tous les navigateurs sont encore tombés cette année"  Vous avez mis ce titre par rapport au crash d'hélico en argentine ??:inpactitude2:

Édité par athlonx2 le 24/03/2015 à 09:19
Avatar de Gilgen Abonné
Avatar de GilgenGilgen- 24/03/15 à 09:19:24

:dix::eeek2::bravo:

Avatar de Burn2 Abonné
Avatar de Burn2Burn2- 24/03/15 à 09:20:18

Impressionnante l'efficacité du chercheur coréen.

Après ces concours sont à double tranchant, ok ça permet de trouver les failles, mais il est évident que certains préparent et trouvent les failles avant, ne disent donc rien et attendent le concours pour les dévoiler.
(pour le gain)

==> du coup on améliorer le délais, mais ça ne veut pas dire que la faille n'est pas connue avant, et donc exploitable avant. :/

M'enfin toute méthode de sécurisation reste bonne à prendre.

Avatar de Ohmydog Abonné
Avatar de OhmydogOhmydog- 24/03/15 à 09:24:23

Balèze le type !

Avatar de Mimoza Abonné
Avatar de MimozaMimoza- 24/03/15 à 09:28:07

Pas de machine sous linux/BSD ?

Ont ils fait comme d'habitude, CAD s'attaquer à la machine qui leur plait le plus matériellement parlant ?

Avatar de WereWindle INpactien
Avatar de WereWindleWereWindle- 24/03/15 à 09:28:22

Ohmydog a écrit :

Balèze le type !

Sony et le FBI te diront que les Coréens sont balèzes en hacking :mdr:

Avatar de Konrad INpactien
Avatar de KonradKonrad- 24/03/15 à 09:29:16

Merci à ces chercheurs de dénicher les failles, et merci aux éditeurs de les corriger rapidement. Tout cela est bénéfique pour la sécurité des utilisateurs :chinois:

Avatar de aurel_gogo Abonné
Avatar de aurel_gogoaurel_gogo- 24/03/15 à 09:30:01

Burn2 a écrit :

Impressionnante l'efficacité du chercheur coréen.

Après ces concours sont à double tranchant, ok ça permet de trouver les failles, mais il est évident que certains préparent et trouvent les failles avant, ne disent donc rien et attendent le concours pour les dévoiler.
(pour le gain)

==> du coup on améliorer le délais, mais ça ne veut pas dire que la faille n'est pas connue avant, et donc exploitable avant. :/

M'enfin toute méthode de sécurisation reste bonne à prendre.

Et encore je préfère ça que les gens qui découvrent une faille, ne disent rien et l'exploitent pour eux même.
Et puis découvrir une faille et ne rien dire jusqu'au concours est aussi à double tranchant, car la faille pourra être patché pour le concours...

Avatar de linkin623 INpactien
Avatar de linkin623linkin623- 24/03/15 à 09:32:38

Mimoza a écrit :

Pas de machine sous linux/BSD ?

Ont ils fait comme d'habitude, CAD s'attaquer à la machine qui leur plait le plus matériellement parlant ?

:mdr:

OS : Windows 8.1 ou Mac OS ==> des systèmes les plus courants et représentatifs du parc actuel de PC.

Avatar de Strimy Abonné
Avatar de StrimyStrimy- 24/03/15 à 09:35:25

Ceci dit, ça pourrait être intéressant de commencer à intégrer les smartphones dans ce genre de concours (à moins que ce ne soit déjà le cas ?)

Il n'est plus possible de commenter cette actualité.
Page 1 / 5