Fermer le menu
macG
iGen.fr
macG
Forums Mac
macG
refurb
macG
iOccasion
Apple commercialise de nouveaux MacBook Pro Retina

Formulaire de recherche

CanSecWest

Toute l'actualité sur CanSecWest

Pwn2Own : la saison de la chasse (aux failles) va s'ouvrir

| 02/02/2014 | 14:25 |  

Les hackers sont sur le pied de guerre. HP a annoncé les dates et le règlement de la prochaine compétition Pwn2Own, la huitième édition de la chasse aux failles 0 day (Zero Day Initiative). L'événement, qui mettra aux prises les meilleurs chasseurs de vulnérabilités de la planète, aura lieu les 12 et 13 mars durant la conférence CanSecWest consacrée à la sécurité informatique à Vancouver (Canada). Organisée par TippingPoint, une division de HP qui développe des systèmes de protection pour les réseaux d'entreprises, cette édition de Pwn2Own consiste à débusquer des failles inédites au sein de plusieurs navigateurs et logiciels. Les récompenses en argent sont particulièrement intéressantes cette année, puisque HP met 645.000$ sur la table.

Les chercheurs et les équipes qui arriveront à dénicher (et à démontrer) une faille au sein de Chrome, Internet Explorer 11 ou Windows 8.1 remporteront ainsi 100.000$. Pour Safari, la récompense est de 65.000$. Firefox (50.000$), Flash ou Reader (75.000$) et Java (30.000$) sont également dans le collimateur des organisateurs, tout comme l'an dernier. Un prix spécial de 150.000$ sera décerné cette année pour ce que HP appelle la faille Licorne, qui consiste à hacker Explorer 11 dans Windows 8.1, avec une difficulté supplémentaire : obtenir un accès aux basses couches du système en contournant EMET (Enhanced Mitigation Experience Toolkit), un outil mis au point par Microsoft pour justement prévenir les risques de piratage.

L'organisation a choisi cette année encore un système de tirage au sort pour sélectionner les équipes et les chercheurs invités à faire la preuve, en 30 minutes, des failles découvertes. Ce système provoque la controverse chez les hackers, car celui qui bénéficie d'un tirage au sort favorable peut repartir avec le prix, pour peu qu'il ait repéré une vulnérabilité évidemment. Il ne suffit pas de trouver une faille : il faut donc aussi avoir de la chance pour être invité sur scène.

Autre polémique, l'argent en jeu attire les équipes de chercheurs chevronnés contre lesquels les individuels n'ont aucun moyen ou presque de briller. Charlie Miller, célèbre chercheur en sécurité, n'a pas manqué de le souligner sur son compte Twitter, où il estime que les équipes annulent tout l'intérêt et le plaisir de tenter sa chance. L'organisation a bien pensé à organiser des concours équipes contre chercheurs, mais l'idée a finalement été abandonnée.

...

> Lire la suite et accéder aux commentaires

CanSecWest 2013 : Safari vainqueur mais sans combattre

| 08/03/2013 | 11:32 |  

Safari est resté debout à l'issue de la conférence CanSecWest de Vancouver qui a réuni des spécialistes en sécurité entre le 6 et le 8 mars. Mais pour une raison simple, aucun des participants n'a tenté de trouver un défaut dans sa cuirasse…

Ce rendez-vous annuel est toujours l'occasion de mettre à l'épreuve les principaux navigateurs du marché, avec des récompenses sonnantes et trébuchantes pour les plus adroits des participants (en plus du portable ayant servi à la démonstration). Chrome, Internet Explorer et Firefox ont tous les trois révélé des failles de sécurité.

L'épreuve consistait à injecter du code sur la machine hôte après une visite sur une page web contaminée et de l'exécuter, même en présence d'une protection de type sandboxing. Le tout devant être obtenu sans interaction, ou très faible, de la part de l'utilisateur. La démonstration ne devait excéder 30 minutes et elle devait utiliser une faille inconnue de l'éditeur du navigateur.

La société française VUPEN Security s'est une nouvelle fois illustrée, elle est une habituée de ce concours. Elle a réussi à mettre en défaut IE 10 sur Windows 8 fonctionnant sur une tablette Surface Pro, Firefox sur Windows 7 et les plug-ins Java et Flash sur Windows 7. Ce qui lui a rapporté la bagatelle de 250 000$ (191 000€) et une publicité supplémentaire. Mozilla a déjà corrigé son navigateur et distribue aujourd'hui une version 19.0.2.

Chrome a été défait par une autre équipe. Le plug-in Java sur Windows l'a été en tout par quatre équipes ou participants et le plug-in Reader d'Adobe est tombé au moyen d'une faille trouvée par George Hotz, alias GeoHot.

Fait nouveau, personne n'a touché à Safari, qui avait été attaqué avec succès par le passé. Pas d'explications à cela. On peut y voir la preuve d'une solidité plus importante du couple Safari et Mountain Lion. Ou bien un désintérêt devant l'enjeu (ce n'était pas Safari Mobile mais sa version Mac) ou une raison purement financière. Les exploits réalisés sur Internet Explorer rapportaient de 75 000 à 100 000$, contre 65 000$ pour Safari. Toutefois Firefox était une marche en dessous avec 60 000$. Une victoire donc pour le navigateur d'Apple mais sans attaquants…

> Accéder aux commentaires

Pwnium 3 : Chrome OS devient la cible

| 29/01/2013 | 11:22 |  

Google a annoncé la tenue de la troisième édition de la compétition de hacking Pwnium. Alors que les deux premières éditions étaient consacrées à Chrome, cette année c'est Chrome OS qui va être la cible des hackers. La firme de Mountain View explique qu'elle est impliquée dans Pwn2Own 2013 où Chrome figure et qu'elle souhaite mettre en avant la sécurité de Chrome OS avec Pwnium.

Google dépensera jusqu'à 3,14159 millions de dollars en récompense. Les prix seront ainsi distribués :
- 110 000 $ pour l'exploitation d'une faille du système ou du navigateur via une page web avec un accès en mode invité ou connecté
- 150 000 $ pour avoir compromis de manière permanente la sécurité de la machine — même après un redémarrage — via une page web

Les participants auront à leur disposition un Chromebook Samsung Series 5 550 avec la dernière version de Chrome OS installée. Ils pourront installer n'importe quel logiciel pour parvenir à compromettre la sécurité de la machine. Acer, qui annonçait des résultats encourageants à propos des Chromebook, louait leur sécurité. Les hackers de la compétition feront peut-être mentir le fabricant.


Capture d'écran de Chrome OS

Pwnium 3 se déroulera à la conférence CanSecWest début mars, en même temps que Pwn2Own.

> Accéder aux commentaires

Pwn2Own 2013 : 65 000 $ de récompense pour Safari

| 22/01/2013 | 15:29 |  

Comme chaque année, la conférence CanSecWest sera le théâtre du concours de sécurité Pwn2Own. Cette compétition oppose des hackers qui tentent de trouver des failles dans les navigateurs web et de les exploiter.

L'organisateur a dévoilé les différentes récompenses pour l'édition 2013. Le premier participant parvenant à compromettre la sécurité de Chrome sur Windows 7 empochera 100 000 $ (75 000 €), tout comme celui qui se sera attaqué avec succès à Internet Explorer 10 sur Windows 8. Concernant OS X, le prix est de 65 000 $ pour Safari sur Mountain Lion.

Il sera aussi possible de s'attaquer à des plug-ins. Les cibles sont Adobe Reader XI, Flash et Java sur Internet Explorer 9. Alors que la prime pour les deux plug-ins d'Adobe s'élève à 70 000 $, l'exploitation d'une faille dans Java n'est récompensée « que » par 20 000 $. De là à dire qu'il s'agit d'une cible plus facile...


Photo Jeff Keyzer CC BY SA

L'année dernière, l'équipe française Vupen Security s'était illustrée en mettant à mal Chrome (lire : CanSecWest : Chrome s'effondre deux fois).

> Accéder aux commentaires

Pwn2Own : Internet Explorer tombe à son tour

| 09/03/2012 | 14:51 |  

Après Chrome, c'est au tour d'Internet Explorer 9 d'être hacké lors du concours Pwn2Own organisé à l'occasion de la conférence CanSecWest. C'est encore l'équipe de Vupen Security qui s'est distinguée. Le leader français des solutions de gestion des vulnérabilités informatiques était déjà l'auteur des deux attaques qui lui ont permis de faire trébucher le navigateur de Google (lire : CanSecWest : Chrome s'effondre deux fois).

Comme pour Chrome, Vupen Security est parvenu à exploiter une faille dans le bac à sable d'Internet Explorer. Chaouki Bekrar, PDG de Vupen, précise que la tâche fut plus aisée que pour Chrome. Ce dernier est bien plus évolué que celui d'Internet Explorer. Toutefois, avec IE10, Microsoft devrait être sur ce plan quasiment au même niveau que Chrome.


L'équipe de Vupen Security / Image : Dan Godin (Ars Technica)

Concrètement, il suffit que le PC charge une "simple" page web pour que les hackers puissent prendre le contrôle de la machine.

Safari et Firefox n'ont toujours pas cédé aux assauts des "hackers". D'habitude, le navigateur d'Apple était souvent le premier à tomber. A l'image de tous les navigateurs, Safari a beaucoup progressé en matière de sécurité. Toutefois, son invincibilité est également due au fait que certains chercheurs, comme Charlie Miller, n'ont pas participé à cette édition, car ils sont en désaccord avec les nouvelles règles du concours (lire : Pwn2Own 2012 : va y avoir du sport). Pwn2Own 2012 s'achève ce soir.

> Accéder aux commentaires

CanSecWest : Chrome s'effondre deux fois

| 08/03/2012 | 12:21 |  

La conférence CanSecWest est l'occasion du fameux concours primé Pwn2Own, qui a notamment couronné Charlie Miller depuis plusieurs années. Celui-ci ne participera pourtant pas à l'édition 2012, suite à un changement de règles qui le met selon lui hors concours.

Ce changement répond à un problème que Charlie Miller a pu lui-même trouver frustrant : l'ordre des tentatives était jusqu'ici tiré au sort, et pouvait donc laisser pour compte de jolies prouesses, puisque le premier à faire tomber une machine était considéré gagnant.

Pour y remédier le concours Pwn2Own se fait désormais sans filet : les participants doivent venir les mains vides et coder sur place leurs hacks, alors qu'ils pouvaient auparavant amener leurs développement réalisés au préalable. Ainsi, le premier à hacker une machine dans cette course au développement gagne. Charlie Miller considère que cela favorise des équipes de développeurs plutôt que ceux qui participent seuls.

Précisément, c'est l'équipe française Vupen Security qui a remporté la mise, et de belle façon : elle a mis à mal l'image d'invulnérabilité de Chrome, seul navigateur à avoir résisté aux attaques l'an dernier. Il a suffi de pointer Chrome sur une page contenant du code malveillant pour que l'ordinateur lance spontanément la calculette de Windows. L'équipe a utilisé deux failles "zero-day" (des failles qu'elle est la première à avoir identifiées et exploitées). Vupen Security compte conserver la primeur de celle qui lui a permis de contourner le bac à sable de Chrome : la société commercialise ses trouvailles à des clients gouvernementaux, ce qui soulève quelque controverse dans la communauté des experts en sécurité.

Mais Chrome s'est également soumis aux imprécations du russe Sergey Glazunov lors d'un autre concours du CanSecWest, cette fois organisé par Google elle-même : Pwnium. Google a en effet décidé de se retirer du concours Pwn2Own, qui n'exige plus la révélation des failles exploitées par les hackers comme Vupen. Pwnium se consacre exclusivement à Chrome, chaque faille utilisée est récompensée, et le vainqueur a gagné les 60 000 $ mis en jeux. Là aussi il a tiré parti de deux failles zero-day, et Google a admis sa défaite avec tout le fair-play de circonstance. Justin Schuh, responsable de la sécurité de Chrome, a admiré la prouesse comme il se doit : « L'exploit était impressionnant. Il exigeait une profonde compréhension de la manière dont Chrome fonctionne. Ça n'est pas une mince affaire à réaliser. C'est très difficile et c'est pourquoi nous le récompensons avec 60 000 $ ».

Naturellement Google se fait fort de fournir une correction des failles concernées au plus vite, du moins pour celles qui lui auront été dévoilées.

> Accéder aux commentaires

Pwn2Own 2012 : va y avoir du sport

| 27/01/2012 | 20:23 |  

Chaque année à l’occasion de la conférence CanSecWest, plusieurs concours de sécurité sont organisés afin de tester la fiabilité des systèmes d’exploitation et des principaux navigateurs web.

Jusqu’à présent, le premier qui parvenait à exploiter une faille de sécurité sur une configuration précise repartait avec l’ordinateur ainsi qu’une belle somme d’argent.

Ainsi, l’année dernière, les ingénieurs de la société française, Vupen Security, avaient empoché 15 000 $ et un MacBook Air en tirant profit d’une faille inconnue de Webkit (lire : Pwn2Own 2011 : Apple, victime de son succès ?).

L’édition 2012 de Pwn2Own devrait être encore plus intéressante que les précédentes. Cette fois, ce n’est pas celui qui prendra possession en premier d’un système qui raflera la mise, mais celui qui exploitera le plus de failles de sécurité.

Les participants pourront s’attaquer aux quatre principaux navigateurs (Internet Explorer, Firefox, Chrome et Safari) avec les dernières versions en date de Windows 7 et OS X Lion. Afin de pimenter le tout, les concurrents seront également invités à exploiter des failles connues sur d’anciens systèmes.

Un classement par points sera mis en place. Le premier repartira avec 60 000 $, le second avec 30 000 $ et le troisième 15 000 $. Google rétribuera ceux qui trouvent des failles spécifiques à Chrome.

Pwn2Own 2012 se déroulera à Vancouver du 7 au 9 mars 2012.

image : Jake Turcotte

> Accéder aux commentaires

Apple et la problématique de la sécurité

| 17/03/2011 | 21:54 |  

La réputation ne fait pas tout. Et, comme à l’accoutumée, Mac OS X n’a pas manqué de faillir lors de la dernière édition du concours Pwn2Own, lors de CanSecWest. Cette fois-ci, ce sont les Français de Vupen Security qui ont réussi à trouver et exploiter une faille de WebKit, le moteur de rendu HTML de Safari - notamment.

Il faut dire que Vupen s’est fait une spécialité de ce qu’il convient d’appeler «l’intrusion amicale» ou, autrement dit, le test de pénétration. Parmi les clients de Vupen Security, on compte notamment Microsoft, Shell, Sagem ou encore l’IGN. Leur métier, c’est la mise à l’épreuve des stratégies de sécurité appliquées aux systèmes d’information. Des équipes suffisamment efficaces pour que, lors de l’édition 2009 des Assises de la Sécurité, l’atelier de Vupen ait fait salle comble et ait attiré l’intérêt de représentants de la grande distribution, des télécommunications ou encore de l’Armée.

Pour iOS, c’est encore Safari qui a servi de porte d’entrée. Et c’est un habitué qui s’est attelé à la tâche : Charlie Miller. Analyste Sécurité chez Independent Security Evaluators, Charlie Miller a été quatre fois distingué lors de Pwn2Own. Sur Twitter, il se décrit comme le «monsieur 0-day d’Apple», autrement dit celui qui déroule des failles inconnues jusque-là dans les logiciels de la firme à la pomme. L’une des spécialités de Miller, c’est le Fuzzing. Une approche de la recherche de vulnérabilités développée notamment par Ari Takanen, directeur technique du finlandais Codenomicon. Avec Jared DeMott et Charlie Miller, il a co-signé un ouvrage dédié au sujet, «Fuzzing, for software security testing and quality assurance», publié en 2008 par Artech House. À la fin de cet ouvrage, un cas pratique est d’ailleurs consacré à la recherche de vulnérabilités dans Quicktime Player.

Le concept de base du Fuzzing est relativement simple : il s’agit de chercher les interfaces des applications accessibles de l’extérieur et de les saturer de données corrompues - au sens où elles ne sont pas cohérentes avec ce que l’application est censée traiter - avant de voir ce qui se passe... D’une certaine façon, on peut voir là un parallèle avec la compromission de sites Web par injections SQL : dans les deux cas, le logiciel n’est pas suffisamment protégé contre les tentatives d’injection de données ne correspondant pas à ce qu’il doit attendre d’un utilisateur légitime...

L’an passé, Charlie Miller soulignait notamment qu’OS X «présente une vaste surfac...

> Lire la suite et accéder aux commentaires

Pwn2Own : Google corrige déjà une faille de sécurité

| 15/03/2011 | 00:50 |  

Chrome, le navigateur de Google, a résisté, faute de candidat, au défi de Pwn2Own, événement au cours duquel des hackers et chercheurs en sécurité essaient de faire tomber des navigateurs en utilisant une faille de sécurité. Pourtant, Google a corrigé une faille de sécurité de Webkit, le moteur d'affichage des pages utilisé par Chrome. Cette faille a été en fait exploitée par l'équipe qui a fait tomber le navigateur du Blackberry Torch (lire : Pwn2Own 2011 : l'iPhone et un BlackBerry sont tombés) et elle concerne tout autant les navigateurs Webkit, Chrome donc, mais aussi Safari.

Comme toujours, Google a été extrêmement réactif dans la correction de cette faille jugée sérieuse par le géant de la recherche. Fidèle à son habitude, l'entreprise n'a rien dévoilé de précis concernant cette faille qui concerne apparemment une corruption de la mémoire liée aux styles. Google a donné 1337 $ à l'équipe qui a déniché cette faille, 1337 $ qui viennent s'ajouter aux 15 000 gagnés pour avoir fait tomber le smartphone.

Comme toujours également, Apple refuse de commenter ses corrections de failles de sécurité. L'entreprise de Cupertino est néanmoins rarement prompte à corriger les failles et on ne sait pas quand la correction interviendra. Pendant le Pwn2Own, l'iPhone était aussi tombé, mais iOS 4.3 sorti depuis rend visiblement la tâche beaucoup plus difficile pour les hackers.

Sur le même sujet :
- CanSecWest : Safari tombe sur une faille de sécurité WebKit
- Pwn2Own 2011 : Apple, victime de son succès ?

> Accéder aux commentaires

Pwn2Own 2011 : Apple, victime de son succès ?

| 14/03/2011 | 15:43 |  

Pendant trois jours, les hackers et chercheurs en sécurité se sont succédé pour faire tomber les principaux navigateurs web du marché sur les principaux ordinateurs et smartphones. Le bilan n'est pas flatteur pour Apple à première vue : Safari sur Mac est tombé dès le premier jour et Safari Mobile a connu les mêmes déboires le lendemain..

En ce qui concerne Safari pour Mac, c'est une société française, Vupen Security, qui est parvenu à exploiter en premier une faille inconnue de Webkit et a raflé la mise et empoché au passage 15 000 $ ainsi qu'un MacBook Air. En conduisant l'utilisateur sur un site spécifique elle a réussi à déclencher en retour et, sans autre intervention de la personne, à lancer l'utilitaire Calculette et à écrire un fichier sur le disque dur de la machine. Le tout sans faire planter Safari. Entre dénicher la faille et se doter des moyens de l'utiliser, il a fallu une quinzaine de jours à l'équipe de Chaouki Bekrar pour parvenir à ses fins (lire : CanSecWest : Safari tombe sur une faille de sécurité WebKit).

De leur côté, Charlie Miller et Dion Blazakis ont réussi à exploiter une faille présente dans Safari Mobile. Les deux chercheurs sont parvenus à récupérer des données stockées sur un iPhone 4, sans que cela ne nécessite d'interaction (ou peu) de la part du propriétaire du téléphone (lire : Pwn2Own 2011 : l'iPhone et un BlackBerry sont tombés).

Mais de l'aveu même de Charlie Miller, cela a été plus compliqué que les autres années. Il a fallu aux deux chercheurs des mois de travail et le hack ne fut finalisé qu'à la veille du concours, alors que durant les années précédentes, Miller avait préparé son coup longtemps à l'avance. De là à dire que tant bien que mal, Apple progresse sur le front de la sécurité, il n'y a qu'un pas.

Il peut d'ailleurs remercier Apple d'avoir proposé au téléchargement iOS 4.3 si tardivement. En effet, la dernière version du système d'Apple apporte la distribution aléatoire de l'espace d'adressage, un mécanisme visant à renforcer la sécurité des terminaux d'Apple. Si ce mécanisme n'annihile pas la faille, il complique sérieusement sa mise en oeuvre selon Charlie Miller.

Le solutions d'Apple ne sont pas les seules à avoir été prises à défaut, Internet Explorer 8 et Blackberry Torch 9800 ont également cédé aux assauts des chercheurs en sécurité. Chrome, Firefox, et les téléphones sous Android et Windows Mobile sortent indemnes de ce concours, mais o...

> Lire la suite et accéder aux commentaires

Pages

Actualités

 Dernière mise à jour à 16:03
OS X Yosemite : un fort attrait pour la bêta 9
Le Mac Pro en vedette sur le tour de France 22
Freeway, Lego Harry Potter et Spec Ops : les promos du jour sur le Mac App Store 11
Total War: SHOGUN 2 est disponible sur le Mac App Store 13
UBS : fan de Tim Cook 7
Shazam reconnaît aussi votre musique sur Mac 33
Apple Store : 2,3 jours pour livrer une commande 12
Refurb : Mac mini à 499 € et MacBook Pro Retina à 1019 € 6
Du saphir synthétique produit avec de l'énergie solaire 24
Lire toute l'actu →
Mercredi 30 Juillet
MailTags 4 gère les labels de Gmail et les tags d’OS X 4
Première bêta pour OS X 10.9.5 8
Nouveau firmware EFI pour les MacBook Air mi 2011 6
Apple commence à intégrer les équipes de Beats 15
Pas encore invité à la bêta d’OS X Yosemite ? Patientez encore un peu ! 25
Modbook Pro X : la tablette à base de MacBook Pro Retina 4
La Russie veut accéder au code source des logiciels d'Apple 35
Premiers tests avec 2 nouveaux MacBook Pro 15" mi-2014 22
Messages : pour fermer toutes les conversations d’un coup 9

À la une : à vos MAC

iOccasion

Sondage

Votre joujou high-tech préféré pendant les vacances

Bon plans MacG

LEGO Harry Potter Mac
26,99 €
4,49 €
LEGO Harry Potter Years 1-4 Mac
26,99 €
4,49 €
Spec Ops: The Line Mac
26,99 €
8,99 €
Freeway Express AS Mac
44,99 €
Gratuit
Dropzone 3 Mac
8,99 €
4,49 €
Instaflash Pro Universel
4,49 €
Gratuit
Deemo Universel
1,79 €
Gratuit
AVPlayer Plus Pro Universel
2,69 €
Gratuit
Be S.M.A.R.T. Universel
1,79 €
Gratuit
Quick Dial iPhone
1,79 €
Gratuit
Instaflash Pro Universel
4,49 €
Gratuit
Deemo Universel
1,79 €
Gratuit
AVPlayer Plus Pro Universel
2,69 €
Gratuit
Be S.M.A.R.T. Universel
1,79 €
Gratuit
Quicklytics Universel
2,69 €
0,89 €