Le concours Pwn2Own a lieu chaque année et vise en particulier la sécurité des navigateurs. Des experts s’y affrontent pour en percer les défenses. Cette année, Edge ressort comme le grand perdant, tandis que Chrome a résisté. Par ailleurs, deux équipes ont réussi à s’échapper des machines virtuelles VMware.
Pwn2Own est un concours attendu, par beaucoup, y compris les éditeurs de navigateurs. Ils peuvent y tester les défenses de leurs produits face à des chercheurs et des équipes de hackers venus relever le défi. Les gagnants repartent avec des récompenses sonnantes et trébuchantes, tandis que les éventuelles failles dévoilées sont communiquées aux entreprises concernées. Tout le monde y trouve son compte, sauf peut-être en termes d’image.
Edge et Safari, les deux perdants du concours
C’est notamment le cas d’Edge, le navigateur de Microsoft. Ses défenses ont été percées à cinq reprises, ce qui en fait le pire résultat du concours, mais pas de beaucoup. Côté Apple, Safari est en effet tombé quatre fois. Les bons élèves sont en fait Firefox, vaincu une seule fois, et Chrome, qui pour la première fois a résisté à toutes les attaques.
Mozilla a par ailleurs joué les très bons élèves en publiant très rapidement une version 52.0.1 de Firefox pour colmater la brèche critique découverte par Chaitin Security Research Lab (CSRL). Microsoft et Apple fonctionnent davantage sur un cycle régulier de publication des mises à jour et attendront probablement la prochaine fournée, surtout si les détails des failles sont transmis confidentiellement.
Deux équipes ont réussi à sortir d'une machine virtuelle VMware
Mais les navigateurs ne sont pas forcément les seuls produits testés à cette occasion. Le concours prévoyait donc 100 000 dollars à toute équipe qui parviendrait à s’échapper d’une machine virtuelle créée par VMware Workstation ou Hyper-V de Microsoft. Deux équipes chinoises se sont lancées dans l’aventure, Team Sniper et 360 Security. Les deux ont réussi à sortir d’une machine virtuelle VMware et à exécuter du code sur le système hôte. Elles ont donc empoché la récompense. Personne ne s’est attaqué à Hyper-V.
Il faut noter que ces failles sont plus récompensées que les autres en raison de leur caractère stratégique. Les brèches permettant de sortir d’une machine virtuelle, tout comme celles pour les sandbox, sont particulièrement prisées. Les hackers doivent en effet traverser une couche d’isolation, sachant que durant le concours Pwn2Own, les VMware Tools n’étaient pas installés, supprimant une partie de la surface d’attaque.
Au total, 833 000 dollars ont été distribués. Les trois équipes ayant collecté le plus de points sont toutes chinoises : 360 Security, Team Sniper et CSRL.
Commentaires (99)
#1
Et moi qui voyait dans les VM un genre de sandbox ultime
" />
#2
“les VMware Tools n’étaient pas installés, supprimant une partie de la surface d’attaque.”
Oula, c’est chaud patate quand même. Reste à voir par quel moyen et si c’est portable sur des ESX.
#3
Je ne suis pas un spécialiste du perçage de coffre fort, mais ces hackers au chapeau blanc m’impressionnent. Sortir d’une VM punaise… 
" />
#4
…toutes chinoises
Est ce à dire que les autres gardent leurs trouvailles pour les valoriser par d’autres vecteurs (black market, service sécurité…) , ou que les chinois sont plus doués?
#5
#6
Je suis un peu les changelog de Firefox depuis plusieurs versions et j’ai l’impression que plus de failles sont bouchées par rapport à avant, quantitativement. Il me semble que ça tourne autour d’une quinzaine aujourd’hui.
Donc c’est cool de ce côté.
#7
À quand un Pown2Own sur les box internet ? Parce que ça doit pas être du joli-joli là-dedans…
#8
Chrome ou Chromium ?
Histoire de savoir si la surcouche Google n’ajoute pas seulement du tracking de l’utilisateur…
#9
Bah, compare les prochains patchnote et tu devrais avoir la réponse.
" />
C’est étonnant que les OS ne soient pas inclus dans ce concours. Trop facile ?
#10
#11
#12
Peut être plus nombreux. Si ils montent une vrai industrie de la securité (comme l’ont fait Israel ou la russie a une époque) ils auront forcement de meilleurs résultats que des pays n’y metant pas d’efforts particuliers (puisque plus de monde travaillera a plein temps la dessus)
#13
Elle change le logo déjà
Sinon ya un article Wikipédia qui liste :
Intégration de flash player, de lecteur PDF, de codec proprio, d’outils d’impression, de mises à jour. Même si je doute que cette liste soit à jour, j’imagine qu’elle répond à ta question : non la surcouche n’ajoute pas que du tracking
#14
Bizarre, je croyais que Firefox n’était plus testé car il n’avait de sandbox.
#15
Ou probablement que 100k $ n’est pas une récompense suffisante pour mobiliser une équipe de sécurité dans un pays de l’OCDE.
Je suppose qu’avec le budget annuel de 2 ingénieur occidental tu peux engager un peu plus d’ingénieur chinois ;)
#16
je suis pas sûr que la couche d’isolation diffère beaucoup entre un Workstation et un ESXi.
#17
Google a payer les “ experts ” secrètement donc c’est normale qu’ils n’ont rien trouver dans l’espion Chrome
" />
#18
‘Tin dire que j’ai déjà du mal à faire simplement fonctionner une VM
" />
#19
a mon avis les bons occidentaux, 100 000 ça doit pas vraiment les intéresser.
#20
Je suis impressionné par ces exploits, j’ai beau essayer de m’y intéresser et taper des scripts, à part péter des mots de passes perdus sur des PC au boulot y’a pas de quoi s’extasier…! Rien qu’ouvrir le menu de kali me donne le tournis.
" />
Je me demande quand ils augmenteront les primes pour équilibrer le rapport white/black hat ! Oui on peut rêver !
#21
C’est pas ce concours où l’année dernière Firefox n’avait pas été testé ? Les mozilla-hater s’en étaient donné à coeur-joie… Je suis content de voir qu’il s’en sort bien cette année.
#22
dire que l’année dernière ils n’avaient même pas daigné attaquer Firefox, soit disant que ce dernier était un gruyère..
a croire que les choses changent vite!
https://www.macg.co/logiciels/2016/02/pwn2own-2016-attaquera-tous-les-navigateur…
#23
Ils ont reçu un cheque de google
#24
#25
D’où viennent les sommes distribuées à ce concours ?
#26
#27
#28
#29
#30
Côté Windows, c’est pas joli joli non plus.
" />
#31
il faut dire que le pouvoir d’achat dans ces pays n’est pas le même, attention à ne pas faire de mauvaises corrélations ;)
#32
Personnellement j’utilise Chrome depuis longtemps et je continuerai car de mon point de vue d’utilisateur très très lambda c’est le meilleur navigateur web du moment. Je continue de suivre aussi les évolutions de Vivaldi car il propose des solutions ergonomiques intéressantes voir futuristes avec un écran 16/9ème.
Enfin j’ai effectivement constaté de très nettes améliorations dans Firefox. je ne sais pas ce qui ce cache sous le capot mais il semble plus rapide à se lancer, plus fluide et moins plantogène (notamment sur Youtube et Linux, je devrai dire que c’est flash qui pose problème). Je le ré-utilise de temps à autres.
Ceci dit, les liens postés ici ou là font quand même peur.
A+
#33
Pour Chrome, les failles sont dans les extensions Google que tout le monde installe sans le savoir
#34
Ah ouai, merci. 
" />
Après vérif : Outre macOS et Safari, plusieurs systèmes d’exploitation et logiciels ont été crackés lors du Pw2Own 2017. Plusieurs failles ont été exploitées dans Windows notamment.
#35
sachant que pour les 20% restant il y a pas mal de candidats.
J’ai espoir qu’à l’avenir l’open source ai un peu plus de poids qu’aujourd’hui.
#36
Non…
Comme beaucoup d’autres tu n’as rien compris…
Firefox n’était pas dans la compétition précédente car il n’avait pas reçu de mise à jour majeure concernant ses composants de sécurité !
#37
Google et son espionnage via les extensions te disent merci !
#38
Le nombre d’habitants joue aussi.
Si (supposition au doigt mouillé) il existe une répartition uniforme d’1 hacker brillant pour 10 millions de personnes :
_France : 7
_USA : 36
_Chine : 120
_Canada : 3
Bien entendu, on peut jouer sur les leviers de la formation, les convictions ou l’appât du gain pour faire ressortir encore plus d’individus performants.
#39
1/ C’est mon problème, non?
2/ Parce que tu crois que du moment que tu mets le pied virtuel sur le net, tu n’es pas fliqué, quelque soit le navigateur?
A+
#40
#41
et dire que très régulièrement dans la taskbar de Windows 10, EDGE affiche une boite de dialogue qui prétend que EDGE est plus sécurisé que google chrome que j’utilise, ce message démarre souvent quand je lance google chrome, pour info j’utilise GOOGLE CHROME Version 59.0.3047.4 dev (64-bit) .
#42
#43
#44
#45
Firefox boycotté car il gêne les lobby en ce qui concerne la vie privée.
" />
#46
Houla, j’ai du rater un épisode : j’en étais rester aux “on dit” qui disait que Firefox était une telle passoire que les hacker ne s’essayaient pas à le hacker car no challenge.
#47
A ma connaissance, c’est pas la première fois que VMWare tombe. Les fois précédentes, les vulnérabilités exploitées étaient présentes dans les drivers côté VM (réseau, storage).
" />
Curieux de voir ce qui a été exploité cette fois ci…
Dans tous les cas, ça reste essentiellement du logiciel… z’ont peut être trouvé un moyen d’accéder au ring 0 sur le CPU
#48
Il va devenir plus dangereux d’emm* les scammers indiens
#49
#50
#51
Oui d’où ma question de savoir si c’était portable sur ESX au cas où il y aurait un code partagé entre les deux produits.
Effectivement, de toute façon, plus on réduit la surface d’attaque (noyau, service, comptes, etc.) mieux c’est.
#52
J’imagine que l’équipe de la CIA a été interdite car trop forte?
#53
#54
#55
https://www.youtube.com/watch?time_continue=158&v=Sh8pveFv2DI
#56
Tu as parfaitement raison, avoir le minimum de recule permettant de ne pas croire n’importe quelle fake news est effectivement être un boulet pour les commentaires de NXi.
#57
mais du coup la récompense ne pourra pas être beaucoup plus de 1€ (et je suis gentil)
#58
#59
Et bien figure toi qu’on a des applis en Prod qui tournent beaucoup mieux sous Hyper-V que sous ESXi…
VMWAre n’a jamais compris pourquoi. Les temps de réponses sont 2 à 3 fois meilleurs sous Hyper-V 2008 R2 ou 2012 R2.
C’est un cas particulier, mais ESXi ne peut pas répondre à tout.
Sinon, la gestion au jour le jour d’ESXi est nettement plus simple que celle d’Hyper-V (vCenter / SCVMM)
#60
80% sur les gros comptes, avec le mode de licence ouvert d’un Hyper-v sur un host avec une licence Datacenter, Microsoft commence à dammer le pion à VMware sur le mid-market.
https://community.spiceworks.com/networking/articles/2462-server-virtualization-…
Et cela continue d’augmenter.
#61
#62
Il garde leur failles pour le hack de la Xbox One :P
#63
pour info sur les nunux récents on peut rajouter une sandbox à Firefox facilement (firejail)
https://sites.google.com/site/easylinuxtipsproject/sandbox
#64
#65
“Chrome a résisté à toutes les attaques”
J’ai lu ailleurs qu’il n’y avait eu qu’une tentative, alors forcément…
#66
#67
#68
#69
#70
Merci pour l’info
#71
Ils se font tellement humiliée par celle de la NSA qui ont préféré boudé dans leur coin et ne pas venir.
#72
La sandbox est en gestation dans Firefox:
https://support.mozilla.org/t5/Firefox/Does-Firefox-has-sandbox-mode-if-yes-how-…
https://wiki.mozilla.org/Security/Sandbox
D’ailleurs, c’est sur Linux que la progression du projet est l’avancé.
Pour l’instant pas de sandbox sous Firefox, mais il est vrai que sous Linux il existe des moyens de sanboxer des programmes, mais c’est compliqué à programmer (comme c’est aussi possible de le faire sous Windows, regardes sur le site de l’ANSSI). Mozilla cherche à ce que cela soit un fonctionnalité de base de Firefox.
#73
#74
#75
#76
#77
#78
Désolé mais ce gag dure depuis des années. Je ne vais pas tous les mois, depuis que NT est sortie (car oui, elle documenté depuis 2001 cette “toute nouvelle faille de Windows”) et jusqu’à ce que cette fonctionnalité soit supprimé MS, faire des liens vers la doc à chaque fois que quelqu’un donne un lien vers un site de merde qui vérifie pas ses infos ou fait volontairement dans le sensationnalisme trompeur (ce qui semble être le cas du site qu’a cité Richard).
On peut pas traiter de la même façon toutes les désinformations : quand elle est basé sur le spam tu ne dois pas la combattre à chaque fois par des démonstrations, sinon tu fais son jeu.
#79
Pour être vraiment précis, le seul compte Windows qui est admin directement est le compte de l’utilisateur “administrateur”, par défaut désactivé, et dont le mot de passe est inconnu.
" />
" />
Le 1er compte créé par le setup Windows en mode suivant suivant, est membre du groupe des administrateurs locaux de la machine, et permet l’élévation de droits via une simple autorisation (clic sur le bouton Oui) sans mot de passe à re-saisir (comme le demanderait le sudo linux).
Tous les utilisateurs, hormis le vrai compte “administrateur”, quelque soit leur appartenance aux groupes administrateurs (local ou domaine), conservent des droits restreints par défaut.
Bon, ceci dit, juste après, un bon sysadmin fait un p’tit :
net user administrateur /active:yes suivi d’un net user administrateur toto2017
Nan, paske faut bien justifier qu’on est des vraies feignasses…
#80
#81
Honnêtement, je pense que la différence de coût est bien sur le coup des licences de VM clientes plus que les tools de management.
Mais comparativement, hors VDI (Hyper-v est vraiment pas orienté dans ce sens), je ne trouve pas que VMware ait énormément d’avantage extrêmement concurrentiel face à Hyper-V. Si tu rajoutes une comparaison full stack avec un SCCM et un VCenter, la différence est encore plus vive.
#82
#83
Une PME avec 30 VM prendra 3 hyper-v en licence datacenter au core et ne paiera pas les licences OS des vm clientes. Avec Failover Cluster Manager de largement suffisant pour le simple management.
C’est particulièrement sur ce type de client que Hyper-v est un tueur au niveau coût face à VMware.
#84
Ouep, on est bien d’accord.
" />
Surtout qu’avec la démocratisation des NAS + iscsi , pas besoin d’investir dans un SAN et tout le bazar pour avoir un cluster sympa.
#85
#86
#87
J’ai dû me palucher la page web technique pour vérifier l’info !
#88
C’est déjà valide depuis 2012 comme mode de licence.
Tu licencies par core ta licence 2012 Datacenter sur tes hyper-v, tu as un beau KMS qui t’active légalement tout les OS clients.
La subtilité est qu’ils sont licencié en standard, tu dois licencié manuellement le client si tu veux du Enterprise.
#89
Je crois que la nécessité d’utiliser un compte administrateur sous Windows est plus un prérequis pour les applis codées avec les pieds qu’un problème à chercher do côté de Redmond. J’ai même le cas d’un logiciel client de cybercafé (dont je tairai le nom parce que ça remonte à plus de 10 ans, mais quand même…), truc qui est censé restreindre un maximum l’utilisation de l’ordinateur à des programmes précis de base, qui nécessitait de fonctionner sur le compte administrateur (et même pas un compte qui a les privilèges admin, le vrai compte admin qui n’est pas activé par défaut)… Forcément, les gosses faisaient des Ctrl+Alt+Suppr à tours de bras et roule ma poule !
Aussi, pour ESXi vs. Hyper-V, je pense qu’une des raisons pour lesquelles VMWare est majoritaire doit simplement s’expliquer du fait que comme VMWare est le leader du marché, ben le DSI fait rapidement son choix en général…
#90
Tu es sur pour 2012 ? Il me semble que c’est plutôt par socket/cpu et non par core/coeur.
2016 c’est pa coeur (donc un socket 4 coeurs = 4 coeurs à licencier)
#91
Absolument pas sûr.
Cela fait longtemps que c’est plus moi qui fait les calculs de CAL et de licence pour les clients :)
#92
Mwoui, enfin, pendant très longtemps (pour XP en tout cas) la recommandation officielle de Microsoft pour stocker les données partagées entre tous les utilisateurs, c’était de les ranger dans un sous-répertoire de ton applicatif dans Program Files…
Comme tout le monde a fait comme ça, quand ils se sont enfin rendus compte que c’était pas tip top au niveau sécurité et ils ont dû virtualiser le répertoire et inventer AppData (qui a changé 4 fois de nom)
#93
#94
#95
#96
#97
Je crains qu’il y ait incompréhension :
Moi, je parlais d’un utilisateur lambda tout bête qui lance une simple console msc qui lui permet de lancer un powershell en tant que local admin juste en trifouillant lui même son pauvre HKCU.
#98
J’ai le même genre de choses au boulot.
On a des droits admins (avec UAC) mais sans pouvoir tout faire (notamment désactiver l’antivirus, refuser les mises à jours, kill certains process)
#99
Sauf que ce n’est pas possible… Si tu es un utilisateur lambda, tu peux trifouiller autant que tu veux ta HKCU, tu n’arriveras pas à injecter une DLL dans le loader de l’antivirus qui tourne sous l’utilisateur système. Au mieux, tu arriveras à injecter une DLL dans tes propres processus, mais tes propres processus n’ont pas plus de droits que toi.
En clair : en tant qu’utilisateur lambda tu peux faire en sorte qu’à chaque démarrage d’un exe, tu effaces un fichier qui t’appartient. Il n’y a pas grand prodige à faire ça, tu pouvais tout aussi bien mettre les fichiers à la corbeille directement à la souris…