Le concours Pwn2Own a lieu chaque année et vise en particulier la sécurité des navigateurs. Des experts s’y affrontent pour en percer les défenses. Cette année, Edge ressort comme le grand perdant, tandis que Chrome a résisté. Par ailleurs, deux équipes ont réussi à s’échapper des machines virtuelles VMware.
Pwn2Own est un concours attendu, par beaucoup, y compris les éditeurs de navigateurs. Ils peuvent y tester les défenses de leurs produits face à des chercheurs et des équipes de hackers venus relever le défi. Les gagnants repartent avec des récompenses sonnantes et trébuchantes, tandis que les éventuelles failles dévoilées sont communiquées aux entreprises concernées. Tout le monde y trouve son compte, sauf peut-être en termes d’image.
Edge et Safari, les deux perdants du concours
C’est notamment le cas d’Edge, le navigateur de Microsoft. Ses défenses ont été percées à cinq reprises, ce qui en fait le pire résultat du concours, mais pas de beaucoup. Côté Apple, Safari est en effet tombé quatre fois. Les bons élèves sont en fait Firefox, vaincu une seule fois, et Chrome, qui pour la première fois a résisté à toutes les attaques.
Mozilla a par ailleurs joué les très bons élèves en publiant très rapidement une version 52.0.1 de Firefox pour colmater la brèche critique découverte par Chaitin Security Research Lab (CSRL). Microsoft et Apple fonctionnent davantage sur un cycle régulier de publication des mises à jour et attendront probablement la prochaine fournée, surtout si les détails des failles sont transmis confidentiellement.
Deux équipes ont réussi à sortir d'une machine virtuelle VMware
Mais les navigateurs ne sont pas forcément les seuls produits testés à cette occasion. Le concours prévoyait donc 100 000 dollars à toute équipe qui parviendrait à s’échapper d’une machine virtuelle créée par VMware Workstation ou Hyper-V de Microsoft. Deux équipes chinoises se sont lancées dans l’aventure, Team Sniper et 360 Security. Les deux ont réussi à sortir d’une machine virtuelle VMware et à exécuter du code sur le système hôte. Elles ont donc empoché la récompense. Personne ne s’est attaqué à Hyper-V.
Il faut noter que ces failles sont plus récompensées que les autres en raison de leur caractère stratégique. Les brèches permettant de sortir d’une machine virtuelle, tout comme celles pour les sandbox, sont particulièrement prisées. Les hackers doivent en effet traverser une couche d’isolation, sachant que durant le concours Pwn2Own, les VMware Tools n’étaient pas installés, supprimant une partie de la surface d’attaque.
Au total, 833 000 dollars ont été distribués. Les trois équipes ayant collecté le plus de points sont toutes chinoises : 360 Security, Team Sniper et CSRL.
