CanSecWest : Chrome s'effondre deux fois

Arnaud de la Grandière |
La conférence CanSecWest est l'occasion du fameux concours primé Pwn2Own, qui a notamment couronné Charlie Miller depuis plusieurs années. Celui-ci ne participera pourtant pas à l'édition 2012, suite à un changement de règles qui le met selon lui hors concours.

Ce changement répond à un problème que Charlie Miller a pu lui-même trouver frustrant : l'ordre des tentatives était jusqu'ici tiré au sort, et pouvait donc laisser pour compte de jolies prouesses, puisque le premier à faire tomber une machine était considéré gagnant.

Pour y remédier le concours Pwn2Own se fait désormais sans filet : les participants doivent venir les mains vides et coder sur place leurs hacks, alors qu'ils pouvaient auparavant amener leurs développement réalisés au préalable. Ainsi, le premier à hacker une machine dans cette course au développement gagne. Charlie Miller considère que cela favorise des équipes de développeurs plutôt que ceux qui participent seuls.

Précisément, c'est l'équipe française Vupen Security qui a remporté la mise, et de belle façon : elle a mis à mal l'image d'invulnérabilité de Chrome, seul navigateur à avoir résisté aux attaques l'an dernier. Il a suffi de pointer Chrome sur une page contenant du code malveillant pour que l'ordinateur lance spontanément la calculette de Windows. L'équipe a utilisé deux failles "zero-day" (des failles qu'elle est la première à avoir identifiées et exploitées). Vupen Security compte conserver la primeur de celle qui lui a permis de contourner le bac à sable de Chrome : la société commercialise ses trouvailles à des clients gouvernementaux, ce qui soulève quelque controverse dans la communauté des experts en sécurité.

Mais Chrome s'est également soumis aux imprécations du russe Sergey Glazunov lors d'un autre concours du CanSecWest, cette fois organisé par Google elle-même : Pwnium. Google a en effet décidé de se retirer du concours Pwn2Own, qui n'exige plus la révélation des failles exploitées par les hackers comme Vupen. Pwnium se consacre exclusivement à Chrome, chaque faille utilisée est récompensée, et le vainqueur a gagné les 60 000 $ mis en jeux. Là aussi il a tiré parti de deux failles zero-day, et Google a admis sa défaite avec tout le fair-play de circonstance. Justin Schuh, responsable de la sécurité de Chrome, a admiré la prouesse comme il se doit : « L'exploit était impressionnant. Il exigeait une profonde compréhension de la manière dont Chrome fonctionne. Ça n'est pas une mince affaire à réaliser. C'est très difficile et c'est pourquoi nous le récompensons avec 60 000 $ ».

Naturellement Google se fait fort de fournir une correction des failles concernées au plus vite, du moins pour celles qui lui auront été dévoilées.

avatar Francis Kuntz | 

Hahahahahahaha!

avatar ziggyspider | 

Pwn2Own, le concours sponsorisé par la mafia et la cia !

avatar Bast6 | 

Quidd des autres navigateurs ?

avatar Gaolinn | 

Voila où mène la course aux versions MDR

avatar lmouillart | 

@Francis Kuntz https://twitter.com/#!/VUPEN
Firefox/IE/Chrome/Safari OSX owned.

avatar redchou | 

Et pourtant ils ont patché chrome pour combler 17 failles juste avant...

avatar Lemmings | 

Belle réaction de l'équipe de Chrome.

avatar Zouba | 

Je ne vois pas ce qu'il y a de marrant. A ce rythme, dans quelques mois, Chrome sera bien plus blindé que les autres navigateurs. Pas de quoi s'en réjouir si Safari et Firefox ne suivent pas le même chemin…

avatar Komm | 

Comment peut on autoriser de tels concours sans obliger à la révélation des failles utilisées? C'est incroyable quand même.

avatar lmouillart | 

@Zouba c'est pour cela que Google finance à coup de dizaine de milliers de dollars, les hackers qui trouvent les failles, ce n'est pas pour leurs beaux yeux.

avatar Kelv | 

J'arrive pas à comprendre les réactions ici ... c'est choquant.
En tout cas, trouver une faille à Chrome était l'objectif numéro 1, et ils ont réussi, donc bravo à eux. Chrome sera toujours plus secure :)

avatar rom54 | 

[quote=Komm [08/03/2012 13:47] ]

Comment peut on autoriser de tels concours sans obliger à la révélation des failles utilisées? C'est incroyable quand même.
[/quote]

Ben non, si on oblige a dévoiler les failles, personnes ne peut utiliser des zeroday et cela exclut les commerciaux du jeu. La on est sur qu'on va avoir des pro en plus des hackers ...
Bon c'est vrai que c'est aussi un encouragement a fair edu chantage commercial:

-zavez vu comment on la pillone votre soft que vous utilisez tous les jours! Ben non on va pas vous dire comment on fait mais on peut vous vendre la protection contre nous...

Par contre, le truc d'empêcher de venir avec son matos, ça c'est nul. Y a que dans les hollywooderies qu'on voit un gars seul face a son clavier qui crack au pied levé les systèmes du monde.
Une attaque c'est tout une stratégie, le développement d'une connaissance, la construction d'une expertise et l'élaboration d'outils. De plus, c'est inégal, car si on exploite une faille nécessitant un accès serveur et non un travail local, alors le serveur piège peut être prépare depuis des mois alors que la faille locale demande de tout faire sur place, et dans la vraie vie c'est le pragmatisme qui compte pas l'idéologie....

Ceci dit Chrome hacke, mois, bon, au suivant...
Il n'y a que les ignorants et les crédules qui peuvent encore croire aujourd'hui qu'un softs ou un OS est impénétrable...

Backupez, protégez vos données et ne mettez pas tout et n'importe quoi vous concernant sur vos machines et sur le Net...

[quote=Kelv [08/03/2012 13:51]

J'arrive pas à comprendre les réactions ici ... c'est choquant.]
[/quote]

Simple a comprendre: c'est puéril. Un peu comme les gars qui se définissent par rapport aux dimension de leur membre viril (ou au nombre de conquêtes ) ou les filles qui "pestent" les autres filles...

avatar phantoom | 

La source de la news est ZDNet mais la news en elle même à été amputé de passages importants...

Sur le même article, de la même source :

Commentaire de Bekrar (un des membre de l'équipe qui à réussit):

"“The Chrome sandbox is the most secure sandbox out there. It’s not an easy task to create a full exploit to bypass all the protections in the sandbox. I can say that Chrome is one of the most secure browsers available.”"

Pour ceux qui ne parlerai pas anglais, il dit que la sandbox de Chrome est la plus sécurisé à ce jour ce qui en fait l'un des navigateurs les plus sécurisé"

De plus cette cible à été choisie pour la raison suivante :

“This just shows that any browser, or any software, can be hacked if there is enough motivation and skill,” he added.

Juste pour montrer que n'importe quel navigateur ou logiciel peut être hacké si le talent et la motivation sont au rendez vous.

Sans oublier bien sur l’appât du gain, aucun des autres navigateur ne récompense personnellement les hack réussit à par Google...

Bref...

avatar lmouillart | 

A noter que dans la plupart des boites ils suffit le plus simplement du monde de demander les mots de passes admin de quasi n'importe quoi et que très très souvent ça passe, idem pour rentrer dans des locaux dit "sécurisés" où l'on est pas connu.

avatar Francis Kuntz | 

[quote]@Francis Kuntz https://twitter.com/#!/VUPEN
Firefox/IE/Chrome/Safari OSX owned.[/quote]
Et alors ? Ca va juste calmer les fangirls google comme toi qui pense que Chrome c'est le truc sans failles ...

avatar Komm | 

@rom54 : ce qui me choque, c'est qu'on fasse étalage public. Comme tu dis, c'est du chantage. Le fait qu'on encourage ce genre de pratiques me semble être à l'opposé de la tâche (noble à l'origine) du hacking.

avatar lmouillart | 

@Francis Kuntz vu que chrome a une 15ène de failles corrigés tous les mois/15j, c'est pas une nouveauté qu'il y ai des failles. Par rapport aux autres navigateurs c'est juste que c'est corrigé beaucoup plus rapidement car chrome est quasi en rolling release.

Tu m'as déjà vu dire qu'un système informatique était sans failles et impénétrable ? Je ne pense pas :-).

avatar Lemmings | 

@sunjohn : toujours aussi pathétique mon pauvre... Google a provisionné 1 million de $ pour récompenser les gens qui trouvent des failles dans le genre. Ils savent que le produit n'est pas parfait (aucun ne l'est) et ils ont une politique qui va dans le sens de permettre d'améliorer les choses autant que possible.

Mais ça, ça te fait CHIER grave d’admettre qu'ils sont beau joueur !

avatar debione | 

@Lemmings

Cela n'a rien a voir avec être bon joueur.... Ils oeuvrent pour eux, et ce n'est pas les quelques peanuts qu'ils jettent en pâture qui font de eux de bon joueurs... Ils ont donné 60'000$? Cela leurs auraient coûté 10 fois plus de découvrir les failles eux-mêmes...

C'est juste une question de rentabilité, et la ils tiennent un bon filon pour découvrir ce genre de failles... pour pas grand chose en regard du boulot fournit

avatar lmouillart | 

Faille corrigée, bravo Google !
Le patch est déjà diffusé :
http://googlechromereleases.blogspot.com/2012/03/chrome-stable-channel-update.html

avatar Weeky | 

Je ne sais pas vous mais je préfère un Safari un peu moins sécurisé à un Chrome qui empiète completement sur la vie privée !

avatar lmouillart | 

@weeky tu peux utiliser Chromium.

avatar Weeky | 

@Imouillard merci mais non merci ! Je préfère dans tous les cas Safari, ergonomie, extensions, compatibilité

avatar joneskind | 

Sachant que Google avait corrigé 17 failles de sécurité 2 jours avant l'event... Ça veut dire que Chrome est très loin d'être infaillible...

@Imouillart

Google corrige 15 failles de sécurité par mois... Hmmm Ça veut juste dire que Chrome est une passoire permanente, et qu'il n'est en rien invulnérable. Remarque que même si Safari avait 400 failles ouvertes permanentes contre 15 pour Chrome, le problème serait exactement le même. Je n'ai besoin que d'une seule porte ouverte pour cambrioler une maison.

@Lemmings

Mouais, je ne vois pas ce que la réaction de Google a de beau. C'est de la politesse. Le perdant salue le gagnant, rien d'étonnant à ça. Enfin c'est vrai que c'est déjà mieux que leur réaction de l'année dernière.

avatar norz | 

[quote]Lemmings [08/03/2012 12:59]

Belle réaction de l'équipe de Chrome.
[/quote]
+1
Effectivement, témoigner du respect pour l'adversaire qui les a battus, c'est tout a leur honneur. Et nettement plus honorable que l'attitude de certains politiques envers leurs adversaires, par exemple.

avatar Marc-Alouettes | 

@norz: "Et nettement plus honorable que l'attitude de certains politiques envers leurs adversaires, par exemple."
Certains = Hollande + Mélanchon ?

CONNEXION UTILISATEUR