
Depuis la création du concours de piratage “
Pwn2Own
“, il y a six ans, jamais personne n’avait percé la muraille du navigateur Chrome.
En fait, à peu prés personne ne s’était même donné la peine d’essayer, les participants préféraient s’attaquer à des cibles plus faciles, comme tous les autres navigateurs Web courants, mais la séquence a pris fin hier, et deux fois plutôt qu’une.
¿ “
Pwn2Own
” proprement dit, c’est l’équipe de la compagnie “Vupen Security” qui a trouvé une failleEn informatique, une faille de sécurité désigne un comportement inattendu du concepteur d'un système. Une fois la faille exploitée, cela provoque généralement un déni de service du système (programme informatique, noyau du système d'exploitation, …... dans la version courante de Chrome et qui s’en est servi pour prendre le contrôle d’un ordinateur.
Les détails n’ont pas été dévoilés, mais la recette utiliserait une combinaison de deux exploits, dont une défaillance dans le plugiciel Flash (une source fréquente de ce genre de problémes).
Vupen est une habituée de “Pwn2Own”, o? la sécurité de Mac OS X Snow Leopard était tombée sous ses coups l’année derniére, son équipe a aussi vaincu InternetInternational Network Ensemble de réseau mondial de toutes tailles et interconnectés Il fonctionne en utilisant un protocole commun (protocole IP). Explorer 8, Safari 5 et Firefox 3 en quelques heures hier.
Pendant ce temps, Google
commanditait un autre concours
, et doté d’une bourse totale d’un million de dollars, dans le but de découvrir les faiblesses de son navigateur.
Là aussi, une failleEn informatique, une faille de sécurité désigne un comportement inattendu du concepteur d'un système. Une fois la faille exploitée, cela provoque généralement un déni de service du système (programme informatique, noyau du système d'exploitation, …... a été identifiée et exploitée en quelques minutes; c’est l’étudiant russe “Sergei Glazunov” qui a réussi le coup et qui obtiendra un prix de 60.000 $US en échange du dévoilement à Google de la technique qu’il a utilisée.
Vupen ne recevra rien puisque Google ne commandite plus Pwn2Own et que Vupen a refusé de dévoiler ses secrets.
¿ ce jour, aucune attaque de type “
zero-dayUn Zero day Exploit est un exploit publié depuis zéro jours, c'est-à-dire en fait non publié, de sorte que tous les systèmes concernés sont vulnérables, sans savoir pourquoi. Le genre de chose que les administrateur système détestent souverainement
” (utilisant une failleEn informatique, une faille de sécurité désigne un comportement inattendu du concepteur d'un système. Une fois la faille exploitée, cela provoque généralement un déni de service du système (programme informatique, noyau du système d'exploitation, …... inconnue des développeurs de Chrome) n’a été rapportée dans la réalité.
Google corrige son navigateur en moins de 24h
Si Google a donc déployé un correctif pour ce hack, le navigateur fut également victime de la firme Vupen lors du concours Pwn2Own, la société française n’aurait cependant toujours pas détaillé son attaque à Google, d’ailleurs, celle-ci ne serait pas obligée de dresser un rapport.
Citation:
Si le navigateur Chrome n’est pas donc invulnérable, il est clair que la firme Mountain View souhaite alors se montrer trés réactive.