Fermer le menu

Pwn2Own 2017 : de nouvelles failles dans macOS et Safari

Mickaël Bazoge | | 11:30 |  11

Le concours Pwn2Own se poursuit à Vancouver, dans le cadre de la 17e édition de la CanSecWest. Pendant cette compétition, des hackers du monde entier ont quelques minutes pour « craquer » macOS et Windows ainsi que des navigateurs web, récompenses sonnantes et trébuchantes à la clé. Ce sont des dizaines de milliers de dollars qui ont déjà été distribués hier, notamment pour des failles dans Safari et macOS, et la fête était loin d’être terminée.

L’équipe 360 Security est parvenue à craquer macOS (par élévation de privilèges) et Safari (par dépassement d’entier). En tout, elle récupère 45 000 $. L’équipe Chaitin Tech, déjà à l’œuvre hier, a encore eu la peau de macOS en exploitant un bug dans le noyau du système : bim, 10 000 $ de plus dans la besace. La Team Sniper de Tencent Security a exploité une élévation de privilèges pour craquer Safari, ce qui lui permet de remporter 35 000 $ ; en revanche, cette même équipe a été disqualifiée alors qu’elle visait macOS sans utiliser de faille 0 day : le bug était déjà connu d’Apple.

Le concours se poursuit un troisième jour, mais d’après l’agenda, aucun logiciel d’Apple n’est au menu.

Catégories: 

Les derniers dossiers

Ailleurs sur le Web


11 Commentaires Signaler un abus dans les commentaires

avatar debione 17/03/2017 - 13:53

Je trouve toujours sidérant le nombre de faille découvertes dans ces événements... Ils sont fait pour cela me dira-t-on...

Mais à l'heure ou les gens, sans froncer sourcilles, mettent tout dans leurs ordi/smartphone, jusqu'à leurs données bio-métrique...

avatar iGeek07 17/03/2017 - 14:30 via iGeneration pour iOS

@debione

Techniquement ce ne sont pas tes données biométriques qui sont dans ton iPhone (je ne sais pas pour les téléphones Android…), mais l'équivalent d'un Hash de ces données.
Ce qui est quand même différent.

avatar C1rc3@0rc 17/03/2017 - 22:07

«Je trouve toujours sidérant le nombre de faille découvertes dans ces événements... Ils sont fait pour cela me dira-t-on...»

Decouverte par Apple et le public qui lit les news consacrés au piratage,oui.
Sinon les hacker passent des mois, voire des annees, a chercher des failles exploitables et viennent en demontrer quelques unes dans ces evenements.
En fait il faut voir pwn2own comme une vitrine commerciale pour les hacker et boites de securité. Ils montrent leurs competences, un echantillon de leur catalogue et ensuite selon les "convictions" ils seront contactés pour vendre leurs trouvailles ou leurs competences sur un marché tres florissant mais totalement inconnu du public...

Il faut comprendre que personne ne va a la pwn2own pour gagner 45 000$, alors que des failles de ce niveau peuvent se negocier 4 fois plus ou etre le gage d'un contrat juteux et a long terme.

«L’équipe 360 Security est parvenue à craquer macOS (par élévation de privilèges) et Safari (par dépassement d’entier)»

Qu'il y ait des failles par dépassement d'entier (buffer overflow) est aujourd'hui inconcevable. C'est l'erreur de programmation la plus ancienne et la plus connu. C'est le truc nº1 qu'on apprend aux ingenieurs a eviter et a pourchasser. Que ce type de bug se trouve dans un soft aussi sensible que Safari est inqualifiable.

Cela en dit long sur les progres a faire du cote d'Apple en terme de securisation. Parce que se lancer dans la perimetrisation en cassant les pieds des developpeurs et des utilisateurs c'est bien beau, mais si on est pas foutu de garantir l'absence d'erreurs de programmation de debutants, ça revient a blinder sa maison et la farcir de systemes de surveillance tout en laissant la clef sur la porte!



avatar toketapouet 17/03/2017 - 14:38 via iGeneration pour iOS

Ce qui me fascine c'est qu'ils n'embauchent pas ces mecs chez Apple (et ailleurs).

45000 dolls une fois par an, divisé par 5 ou 6... N'importe quelle boîte high tech peut payer trois ou quatre fois plus à l'année pour que les gars sécurisent les os...

avatar iGeek07 17/03/2017 - 14:47 via iGeneration pour iOS

@toketapouet

Oui mais dans ton calcul tu supposes que c'est leur seule source de revenu, ce qui est loin d'être le cas je pense.

avatar Bigdidou 18/03/2017 - 16:41 via iGeneration pour iOS

@toketapouet

Peut-être que les gars en question veulent pas être embauchés par ces boites ?
Va savoir ;)

avatar kertruc 17/03/2017 - 15:28 via iGeneration pour iOS

Ça se prononce comment "Pwn2Own" ?

avatar zoubi2 17/03/2017 - 17:17

Pidabeliouennetouodabeliouenne :-)

avatar C1rc3@0rc 17/03/2017 - 22:08

Comme ça s'ecrit bien sur, mais en binaire ;)

avatar JLG01 18/03/2017 - 13:51

En même temps, en dehors du monde numérique, la corruption, la prévarication, voire la simple négligence (voir les dossiers classifiés découverts dans des poubelles d'ambassade) laissant nos données personnelles à découvert.
Le monde numérique est à l'image du reste du monde, largement perfectible.

avatar esantirulo 19/03/2017 - 20:45 via iGeneration pour iPad

Si cela peut aider : pwned = owned la légende dit que cela vient qu'une faute (p à la place de o) dans un menu de war of warcraft... Mais je crois que tout le monde connaît cette histoire.