Lors de la nouvelle édition du concours PWNFEST, plusieurs systèmes, navigateurs et autres ont vu leurs défenses percées. Les résultats sont sensiblement différents du dernier, mais ont permis de révéler de nombreuses failles, toutes communiquées aux entreprises concernées.
Le concours, organisé par la société Vangelis, suit les mêmes objectifs globalement que Pwn2Own et sa déclinaison Mobile. Des équipes s’y affrontent et rivalisent pour percer les défenses des systèmes ou produits attaqués. Si l’exploitation des failles fonctionne et que la mission est réussie (en général prendre le contrôle), les vainqueurs remportent des sommes dépassant souvent les 100 000 dollars. Ces concours permettent en outre de montrer l’évolution des techniques et de révéler des failles inconnues.
Safari et Edge sont tombés en moins de 20 secondes
La version 2016 de PWNFEST a surtout propulsé sur le devant de la scène deux équipes, dont une constituée de membres des groupes de hackers Pangu et JH. Les premiers sont surtout connus du grand public pour leurs solutions de jailbreaking, même sur les dernières versions d’iOS. Cette équipe a réussi notamment à exploiter avec succès plusieurs failles dans Safari et à prendre le contrôle d’un Mac équipé de Sierra en 20 secondes, avec toutes les dernières mises à jour. Elle a ainsi empoché 100 000 dollars.
Le navigateur Edge a lui aussi été victime des hackers, mais par deux autres équipes différentes. La première n’était en fait constituée que d’une seule personne, le chercheur sud-coréen JungHoon Lee, mieux connu sous le pseudonyme Lokihardt. Il a réussi à percer les défenses d’Edge et à pouvoir exécuter du code à distance sur un Windows 10 64 bits mis à jour en seulement 18 secondes. Il est également parvenu à prendre le contrôle de VMware Workstation 12.5.1, récoltant 150 000 dollars.
Une minute pour contourner les défenses du Pixel
L’autre grande équipe, baptisée « 360 », s’en est prise elle aussi à Edge. Elle avait peaufiné sa technique pendant presque six mois, et s’appuyait sur une série de failles. Cependant, la démonstration n’a pas pu aboutir : dans son dernier Patch Tuesday, Microsoft a corrigé trois des failles impliquées. Les 30 heures dont disposait l’équipe n’ont clairement pas été suffisantes pour réviser la méthode. Trois failles bouchées sont autant de portes fermées.
L’équipe s’en est pris cependant avec succès à d’autres produits, notamment VMware Workstation 12.5.1 et Flash. Ce dernier, visé dans sa dernière version, n’a finalement tenu que 4 secondes. Mais elle a surtout attaqué le Pixel de Google. Une action attendue, puisque Adrian Ludwig, directeur de la sécurité pour Android, avait indiqué à Motherboard il y a deux semaines que les nouveaux smartphones étaient aussi bien protégés que les iPhone.
La méthode utilisée n’est pas encore connue, mais l’équipe 360 a réussi son pari. Ils ont pris le contrôle du Pixel en 60 secondes en exploitant deux failles de sécurité. Une fois passé les défenses, les hackers ont pu non seulement accéder à des informations personnelles comme les messages et les photos, mais également prendre le contrôle à distance de l’appareil, notamment pour piloter le Play Store. Ils ont empoché les 120 000 dollars.
Dans l'attente des correctifs
Toutes les sociétés éditrices de logiciels où des failles ont été trouvées ont été averties. Les méthodes utilisées ainsi que les détails des brèches de sécurité ne seront pas publiés avant que des correctifs aient été publiés. C’est notamment vrai pour Android, où le cycle des mises à jour impose une certaine attente.
On a ainsi pu voir récemment comment Google avait diffusé des correctifs pour 48 failles de sécurité pour Android. Il s’agissait cependant de brèches dont les constructeurs avaient été avertis un mois avant. Entre temps, la faille Dirty Cow avait été révélée, et son correctif ne faisait donc pas partie du lot, nécessitant d’attendre jusqu’en décembre, à moins d’une diffusion hors cycle.
Le concours PWNFEST ayant eu lieu en fin de semaine dernière, les deux failles utilisées contre le Pixel ne devraient donc être corrigées que dans les bulletins de début janvier.
Commentaires (58)
#1
L’équipe s’en est pris cependant avec succès à d’autres produits, notamment VMware Workstation 12.5.1 et Flash.
Il est pas censé mourir en 2017 flash ?
#2
Hé oui rien n’est invulnérable.
C’est quand même assez inquiétant ^^
#3
Adrian Ludwig, directeur de la sécurité pour Android, avait indiqué à Motherboard il y a deux semaines que les nouveaux smartphones étaient aussi bien protégés que les iPhone
Et il avait raison, à une poignée de seconde près il est tombé aussi vite
Sinon le résultat de ce genre de concours est quand même sacrément inquiétant, que tous les appareils/OS/navigateurs soient vulnérables ça ne fait aucun doutes, qu’il faille souvent moins d’1 minute pour les faire tomber en revanche …
Les mecs ont un accès physique à la machine pour arriver à faire ça ou ils doivent bosser uniquement à distance ? (dans le 1er cas bon c’est un peu normal, dans le second c’est réellement effrayant)
#4
Plutôt qu’inquiétant, c’est surtout une réalité : aucun système n’est sûr et ne le sera jamais. C’est plus cet aspect qu’il faudrait intégrer dans nos habitudes et surtout que les entreprises devraient comprendre !
#5
J’ai un peu de mal à comprendre l’argument du temps ( « en 20 secondes » ) : J’imagine que les gars arrivent en ayant déjà découvert la ou les failles, avec leur exploit prêt à être exécuter… Donc ce temps n’a pas vraiment de sens non ? On ne sait pas combien de temps il ont réellement mis à trouver les failles et à les exploiter.
#6
Est-ce qu’il faut un accès physique pour exploiter ce genre de faille ?
" />
Ou une connexion à un site Web vérolé suffit ?
Sinon c’est assez inquiétant, surtout pour VMware.
#7
C’est ce que j’allais dire. Ça serait comme parler d’un braquage de banque qui s’est déroulé en moins de X minutes, ok mais combien de temps de préparation (ceux qui ont joué à GTA V le savent
" />) ? Et par qui ?
Ça laisse penser que ces systèmes sont des bouses de sécurité aux portes ouvertes.
La méthode également, on ne la saura pas avant que se soit patché mais en général dans cet événement c’est via un angle bien précis et avec accès physique au matos donc difficilement réalisable à grande échelle plus tard.
#8
#9
“Ils ont empêché les 120 000 dollars.” > empoché j’imagine
+1 pour l’argument des secondes, on se croirait presque sur du clicbait “tu ne devineras jamais ce que ces hackers ont fait en 18secondes” 😄
#10
Ça veut quand même dire que si tu laisses ton téléphone (par ex.) à leur portée pendant 20 sec. il peut être piraté. C’est pas un brute force qui mettra 10 jours pour y accéder.
#11
C’est vrai, je n’y avais pas pensé sous cet angle
" />
#12
#13
Comment ça ils ne révèlent pas les failles publiquement d’ici 7 jours ?! C’est Google qui doit être triste…
" />
#14
Une faille sur iPhone cela se paye 500 000 voir 1 Million de dollars donc ce n’est pas un concours à 100 000 qui va dévoilé les failles de l’iPhone.
#15
#16
C’est cool, Google est prévenu un mois à l’avance des failles par contre les autres se prennent une mise en scène des failles….
Et apres, Google va nous dire que son navigateur est le plus sécurisé….
#17
Comme déjà dit par Cadegenere, l’argument des “Moins de 20 secondes” c’est principalement pour mettre en avant que les techniques utilisées ne passent pas par du brutforce et ne sont pas longues à mettre en œuvre.
Sinon, c’est assez clair que les équipes ont bossées des mois sur les failles avant de pouvoir les exploiter … Ou pas dans le cas de l’équipe 360 dont l’exploit utilisait des failles qui ont été corrigées entre-temps.
#18
Pour ceux qui se demandent ce qu’ils avaient le droit de faire pour attaquer un système/logiciel, un peu de lecture
#19
Les navigateurs web sont devenus des operating-system au dessus de l’operating-system. Et comme le monde informatique n’apprend que très rarement de ses erreurs passées, on retrouve les mêmes problèmes inhérents aux OS: complexité, performance, isolation, … et toutes les failles de sécurité qui en découlent.
#20
C’est ce qui est expliqué dans le paragraphe de l’équipe 360. Ils cherchent pendant des mois, c’est une activité à plein temps j’imagine. Après c’est un manque de bol si la faille est corrigée juste avant le concours, mais si ce n’est pas le cas, il suffit de reproduire un scénario qu’ils connaissent sur le bout des doigts.
#21
Et du coup, plus que l’invulbérabilité, c’est le (faible) temps de réaction pour corriger les failles qui indique si un système est sur ou non.
#22
Si j’en crois l’article, les hackers ont eu des moins pour se préparer aussi.
C’est la démonstration finale qui n’a duré que qq secondes.
#23
C’est parce que vous êtes du mauvais côté de l’argument, si j’achète un passe partout j’en ai rien à battre qu’il ai fallu 6 mois pour le fabriquer, par contre que ça prenne 1 minute pour ouvrir un coffre fort ou une bagnole ça c’est important pour son utilisation.
Il ne faut pas oublier qu’il n’y a pas que des white/grey hats et que ce temps compte dans une stratégie d’attaque. Et donc potentiellement se dire que pour se défendre la fenêtre de tire est extrêmement réduite dans ces cas là.
#24
#25
Pas d’accès physique, uniquement le lancement d’une URL… Attention aux sites visités !
“ the demonstration must be finished during the process of viewing the contestant controlled website by using a browser (the default one, if it’s not specified); besides this, any other user interaction is not allowed. The only thing allowed is to enter the URL on browser interface and navigate to it. ”
http://pwnfest.org/RuleOfPwnfest.pdf
#26
sont tous tombés en moins d’une minute
Titre ridicule étant donné que le temps d’exécution de la faille n’a aucun intérêt hormis d’occulter le temps qu’ont mis les hackers pour trouver et exploiter la faille, qui se prépare avant et met souvent des mois.
#27
Cette politique ne concerne que les failles trouvées dans le cadre du Project Zero chez Google. Ce ne me semble pas choquant qu’en dehors de ce projet, cette politique ne s’applique pas. L’équipe de Zero gère ses deadlines et sa politique comme elle l’entend.
#28
Le problème n’est pas seulement localisé dans le système mais également dans les outils pour les créer. Un compilateur qui produit du code faillible est tout autant responsable. C’est pas forcément la faute au développeur du système. En tout cas pas seulement. Ce ne serait pas la première fois qu’on voit passer des papier qui préconisent d’utiliser une syntaxe spécifique pour éviter une faille…
" />
C’est pour ça que je suis un peu opposé à la foultitude de langage défendus par des profs d’info à la con et / ou des boites qui cherchent a laisser une marque. Réduire un peu le nombre de langage permettrai d’y voir un peu plus clair et de mieux maitriser les canaux d’intrusion. Ça reste a double tranchant pendant un temps. Si un langage avait un problème tout le monde l’aurait (un peu comme Android hein). Le correctif serait toutefois plus prompt a venir (on voit de suite on peut corriger de suite et il y a moins de cible). Ça reste clairement mieux au final. Mais bon ce serait un monde qui ne marche pas sur la tête… bon voila.
#29
Merci de lire les précédents commentaires.
Le temps d’exécution est très important, car cela veut dire qu’un e-mail envoyé avec une URL sur les quels les gens cliquent, leur permet d’avoir le contrôle en moins d’une minute.
En gros en une journée avec un bon phishing tu peux avoir des dizaines de millier de machine en mode bot.
#30
#31
#32
relire plus haut (entre les commentaires de bogomips et manus) ;)
je rajouterais que, dans le cadre de l’attaque en phishing, une attaque qui prend 1min nécessite que la victime reste aussi longtemps sur le site, c’est plus difficile de faire rester 1min que 20s ;)
#33
#34
ils ont refait un remake de “Gone in 60 seconds” avec le Pixel ?
#35
#36
#37
Pour agir aussi vite je suppose que les hackers avaient bien préparé leurs coups et savaient à l’avance ce qu’ils allaient faire mais, tout de même, cette facilité permet de subodorer que ces failles n’ont rien d’exceptionnelles et qu’il suffit de se servir. C’est assez inquiétant.
#38
Qui pour le fichier TES inviolable de Bernard piraté en moins de 10sec?
" />
#39
Ok, j’ai rien dit.
" />
#40
Ils devraient faire pareil pour les objets connectés, c’est l’avenir des bots.
#41
#42
#43
#44
#45
#46
J’ai toujours un OPO (que je me sers pour jouer) sous Cyanogen OS avec MM et le patch de septembre. J’ai l’impression que s’en est fini des mises à jour pour cet appareil ?
" />
Et après on s’étonne que les gens achètent des iPhone… Au moins y a 4 ans de mises à jour.
#47
Au delà des résultats annoncés ici, le concours proposait aussi des prix pour “Apple iOS 10 + iPhone 7 Plus” et “Windows Server 2016 + Hyper V”.
Pas de succès dessus, doit on en conclure que ces systèmes ne sont PAS tombés et donc ici plutôt sécurisé?
Je viens d installer Windows Server 2016 sur des VM, il est sur le même kernel que Win 10 1607, et lui ressemble fortement, mais plus spécifiquement proche de Win10 LTSB, cad sans Store, sans UWP, sans Cortana, sans Edge (IE11 par défaut seulement), mais avec le menu démarrer, les nouveaux parametres (où tous les settings privacy sont off par défaut), etc.
#48
#49
Pourquoi supposes tu ? ^^
C’est le but du concours de trouver et d’exploiter des failles (aussi bien dans l’intérêt de l’équipe que de l’éditeur) donc les organisateurs laissent les équipes venir avec leur matos pour augmenter les probabilités d’avoir des failles croustillantes à se mettre sous la dent. Les équipes sont en compétitions les une avec les autres et il y a de l’argent en jeu donc elles n’y vont pas en ayant rien préparée surtout quand un éditeur peut faire des mises à jour peu de temps avant le concours. Nous ne sommes pas dans un film où le gars se pointe avec sa bi et son couteau et pirate la NSA.
#50
Roh la faille VMWare qui permet d’attaquer l’host à partir du guest !
" />
#51
https://www.cvedetails.com/vendor/97/Openbsd.html
" />
#52
Comme dit et repete plus haut, ce sont des intrusions a la base, c’est donc nomal que leur efficacite soit mesuree en unite de temps, peut importe la preparation parce qu’une fois la methode connue on s’en tamponne de savoir combien de temps il a fallu gamberger pour la pondre.
Et savoir qu’une serie de systemes/appareils a jour tombent en moins d’une minute devrait au contraire renforcer l’idee qu’etre a jour n’est aucunement une garantie de securite.
#53
Donc quand Google trouve un faille dans Windows, ils publient la faille au bout de 7 jours, par contre quand Google trouve une faille dans Android, ils la publient 1 mois après le correctif (qui lui même prend souvent plusieurs mois à arriver quand ça touche une lib un peu sensible, cf les année 2014⁄2015 bourrées d’exemples).
Comment j’aurais attaqué en justice si j’étais M$…
#54
Et encore le mot “hacker” utilisé à mauvais escient….
Du coup on vous appellent des blogueurs à la place de journalistes ?
#55
Tu sais que les 2 sens sont valides (programmation et sécurité) même si le plus ancien est la programmation ?
#56
Nope c’est par abus de langage que l’on utilise le mot hackers à tort. Un cracker pirate, un hacker “optimise”.
#57
#58
Non le cracker est bien le pirate. Après il y a différentes sensibilités, white/grey/black hat de celui qui pirate mais aide à résoudre à celui qui fait ça pour le profit.