Fermer le menu   

CanSecWest

Pwn2Own : la saison de la chasse (aux failles) va s'ouvrir 02/02/2014 | 14:25 | La redaction | 7 commentaires

Les hackers sont sur le pied de guerre. HP a annoncé les dates et le règlement de la prochaine compétition Pwn2Own, la huitième édition de la chasse aux failles 0 day (Zero Day Initiative). L'événement, qui mettra aux prises les meilleurs chasseurs de vulnérabilités de la planète, aura lieu les 12 et 13 mars durant la conférence CanSecWest consacrée à la sécurité informatique à Vancouver (Canada). Organisée par TippingPoint, une division de HP qui développe des systèmes de protection pour les réseaux d'entreprises, cette édition de Pwn2Own consiste à débusquer des failles inédites au sein de plusieurs navigateurs et logiciels. Les récompenses en argent sont particulièrement intéressantes cette année, puisque HP met 645.000$ sur la table.

Les chercheurs et les équipes qui arriveront à dénicher (et à démontrer) une faille au sein de Chrome, Internet Explorer 11 ou Windows 8.1 remporteront ainsi 100.000$. Pour Safari, la récompense est de 65.000$. Firefox (50.000$), Flash ou Reader (75.000$) et Java (30.000$) sont également dans le collimateur des organisateurs, tout comme l'an dernier. Un prix spécial de 150.000$ sera décerné cette année pour ce que HP appelle la faille Licorne, qui consiste à hacker Explorer 11 dans Windows 8.1, avec une difficulté supplémentaire : obtenir un accès aux basses couches du système en contournant EMET (Enhanced Mitigation Experience Toolkit), un outil mis au point par Microsoft pour justement prévenir les risques de piratage.

L'organisation a choisi cette année encore un système de tirage au sort pour sélectionner les équipes et les chercheurs invités à faire la preuve, en 30 minutes, des failles découvertes. Ce système provoque la controverse chez les hackers, car celui qui bénéficie d'un tirage au sort favorable peut repartir avec le...

Lire la suite

CanSecWest 2013 : Safari vainqueur mais sans combattre 08/03/2013 | 11:32 | Florian Innocente | 20 commentaires

Safari est resté debout à l'issue de la conférence CanSecWest de Vancouver qui a réuni des spécialistes en sécurité entre le 6 et le 8 mars. Mais pour une raison simple, aucun des participants n'a tenté de trouver un défaut dans sa cuirasse…

Ce rendez-vous annuel est toujours l'occasion de mettre à l'épreuve les principaux navigateurs du marché, avec des récompenses sonnantes et trébuchantes pour les plus adroits des participants (en plus du portable ayant servi à la démonstration). Chrome, Internet Explorer et Firefox ont tous les trois révélé des failles de sécurité.

L'épreuve consistait à injecter du code sur la machine hôte après une visite sur une page web contaminée et de l'exécuter, même en présence d'une protection de type sandboxing. Le tout devant être obtenu sans interaction, ou très faible, de la part de l'utilisateur. La démonstration ne devait excéder 30 minutes et elle devait utiliser une faille inconnue de l'éditeur du navigateur.

La société française VUPEN Security s'est une nouvelle fois illustrée, elle est une habituée de ce concours. Elle a réussi à mettre en défaut IE 10 sur Windows 8 fonctionnant sur une tablette Surface Pro, Firefox sur Windows 7 et les plug-ins Java et Flash sur Windows 7. Ce qui lui a rapporté la bagatelle de 250 000$ (191 000€) et une publicité supplémentaire. Mozilla a déjà corrigé son navigateur et distribue aujourd'hui une version 19.0.2.

Chrome a été défait par une autre équipe. Le plug-in Java sur Windows l'a été en tout par quatre équipes ou participants et le plug-in Reader d'Adobe est tombé au moyen d'une faille trouvée par George Hotz, alias GeoHot.

Fait nouveau, personne n'a touché à Safari, qui avait été attaqué avec succès par le passé. Pas d'explications à cela. On peut y voir la preuve d'une solidité plus...

Lire la suite

Pwnium 3 : Chrome OS devient la cible 29/01/2013 | 11:22 | Stéphane Moussie | 19 commentaires

Google a annoncé la tenue de la troisième édition de la compétition de hacking Pwnium. Alors que les deux premières éditions étaient consacrées à Chrome, cette année c'est Chrome OS qui va être la cible des hackers. La firme de Mountain View explique qu'elle est impliquée dans Pwn2Own 2013 où Chrome figure et qu'elle souhaite mettre en avant la sécurité de Chrome OS avec Pwnium.

Google dépensera jusqu'à 3,14159 millions de dollars en récompense. Les prix seront ainsi distribués :
- 110 000 $ pour l'exploitation d'une faille du système ou du navigateur via une page web avec un accès en mode invité ou connecté
- 150 000 $ pour avoir compromis de manière permanente la sécurité de la machine — même après un redémarrage — via une page web

Les participants auront à leur disposition un Chromebook Samsung Series 5 550 avec la dernière version de Chrome OS installée. Ils pourront installer n'importe quel logiciel pour parvenir à compromettre la sécurité de la machine. Acer, qui annonçait des résultats encourageants à propos des Chromebook, louait leur sécurité. Les hackers de la compétition feront peut-être mentir le fabricant.


Capture d'écran de Chrome OS...
Lire la suite

Pwn2Own 2013 : 65 000 $ de récompense pour Safari 22/01/2013 | 15:29 | Stéphane Moussie | 5 commentaires

Comme chaque année, la conférence CanSecWest sera le théâtre du concours de sécurité Pwn2Own. Cette compétition oppose des hackers qui tentent de trouver des failles dans les navigateurs web et de les exploiter.

L'organisateur a dévoilé les différentes récompenses pour l'édition 2013. Le premier participant parvenant à compromettre la sécurité de Chrome sur Windows 7 empochera 100 000 $ (75 000 €), tout comme celui qui se sera attaqué avec succès à Internet Explorer 10 sur Windows 8. Concernant OS X, le prix est de 65 000 $ pour Safari sur Mountain Lion.

Il sera aussi possible de s'attaquer à des plug-ins. Les cibles sont Adobe Reader XI, Flash et Java sur Internet Explorer 9. Alors que la prime pour les deux plug-ins d'Adobe s'élève à 70 000 $, l'exploitation d'une faille dans Java n'est récompensée « que » par 20 000 $. De là à dire qu'il s'agit d'une cible plus facile...


Photo Jeff Keyzer CC BY SA

L'année dernière, l'équipe française Vupen Security s'était illustrée en mettant à mal Chrome (lire : CanSecWest : Chrome s'effondre deux fois).

Lire la suite

Pwn2Own : Internet Explorer tombe à son tour 09/03/2012 | 14:51 | Christophe Laporte | 18 commentaires

Après Chrome, c'est au tour d'Internet Explorer 9 d'être hacké lors du concours Pwn2Own organisé à l'occasion de la conférence CanSecWest. C'est encore l'équipe de Vupen Security qui s'est distinguée. Le leader français des solutions de gestion des vulnérabilités informatiques était déjà l'auteur des deux attaques qui lui ont permis de faire trébucher le navigateur de Google (lire : CanSecWest : Chrome s'effondre deux fois).

Comme pour Chrome, Vupen Security est parvenu à exploiter une faille dans le bac à sable d'Internet Explorer. Chaouki Bekrar, PDG de Vupen, précise que la tâche fut plus aisée que pour Chrome. Ce dernier est bien plus évolué que celui d'Internet Explorer. Toutefois, avec IE10, Microsoft devrait être sur ce plan quasiment au même niveau que Chrome.


L'équipe de Vupen Security / Image : Dan Godin (Ars Technica)

Concrètement, il suffit que le PC charge une "simple" page web pour que les hackers puissent prendre le contrôle de la machine.

Safari et Firefox n'ont toujours pas cédé aux assauts des "hackers". D'habitude, le navigateur d'Apple était souvent le premier à tomber. A l'image de tous les navigateurs, Safari a beaucoup progressé en matière de sécurité. Toutefois, son invincibilité est également due au fait que certains chercheurs, comme Charlie Miller, n'ont pas participé à cette édition, car ils sont en désaccord avec les nouvelles règles du concours (lire :...

Lire la suite

CanSecWest : Chrome s'effondre deux fois 08/03/2012 | 12:21 | Arnauld de la Grandière | 26 commentaires

La conférence CanSecWest est l'occasion du fameux concours primé Pwn2Own, qui a notamment couronné Charlie Miller depuis plusieurs années. Celui-ci ne participera pourtant pas à l'édition 2012, suite à un changement de règles qui le met selon lui hors concours.

Ce changement répond à un problème que Charlie Miller a pu lui-même trouver frustrant : l'ordre des tentatives était jusqu'ici tiré au sort, et pouvait donc laisser pour compte de jolies prouesses, puisque le premier à faire tomber une machine était considéré gagnant.

Pour y remédier le concours Pwn2Own se fait désormais sans filet : les participants doivent venir les mains vides et coder sur place leurs hacks, alors qu'ils pouvaient auparavant amener leurs développement réalisés au préalable. Ainsi, le premier à hacker une machine dans cette course au développement gagne. Charlie Miller considère que cela favorise des équipes de développeurs plutôt que ceux qui participent seuls.

Précisément, c'est l'équipe française Vupen Security qui a remporté la mise, et de belle façon : elle a mis à mal l'image d'invulnérabilité de Chrome, seul navigateur à avoir résisté aux attaques l'an dernier. Il a suffi de pointer Chrome sur une page contenant du code malveillant pour que l'ordinateur lance spontanément la calculette de Windows. L'équipe a utilisé deux failles "zero-day" (des failles qu'elle est la première à avoir identifiées et exploitées). Vupen Security compte conserver la primeur de celle qui lui a permis de contourner le bac à sable de Chrome : la société commercialise ses trouvailles à des clients gouvernementaux, ce qui soulève quelque controverse dans la communauté des experts en sécurité.

Mais Chrome s'est également soumis aux imprécations du russe Sergey Glazunov lors d'un autre concours du CanSecWest, cette fois organisé par Google elle-même : Pwnium. Google a en effet décidé de se retirer du concours Pwn2Own, qui n'exige plus la révélation des failles exploitées par les...

Lire la suite

Pwn2Own 2012 : va y avoir du sport 27/01/2012 | 20:23 | Christophe Laporte | 29 commentaires

Chaque année à l’occasion de la conférence CanSecWest, plusieurs concours de sécurité sont organisés afin de tester la fiabilité des systèmes d’exploitation et des principaux navigateurs web.

Jusqu’à présent, le premier qui parvenait à exploiter une faille de sécurité sur une configuration précise repartait avec l’ordinateur ainsi qu’une belle somme d’argent.

Ainsi, l’année dernière, les ingénieurs de la société française, Vupen Security, avaient empoché 15 000 $ et un MacBook Air en tirant profit d’une faille inconnue de Webkit (lire : Pwn2Own 2011 : Apple, victime de son succès ?).

L’édition 2012 de Pwn2Own devrait être encore plus intéressante que les précédentes. Cette fois, ce n’est pas celui qui prendra possession en premier d’un système qui raflera la mise, mais celui qui exploitera le plus de failles de sécurité.

Les participants pourront s’attaquer aux quatre principaux navigateurs (Internet Explorer, Firefox, Chrome et Safari) avec les dernières versions en date de Windows 7 et OS X Lion. Afin de pimenter le tout, les concurrents seront également invités à exploiter des failles connues sur d’anciens systèmes.

Un classement par points sera mis en place. Le premier repartira avec 60 000 $, le second avec 30 000 $ et le troisième 15 000 $. Google rétribuera ceux qui trouvent des failles spécifiques à Chrome.

Pwn2Own 2012 se déroulera à Vancouver du 7 au 9 mars 2012.

image : Jake Turcotte

Apple et la problématique de la sécurité 17/03/2011 | 21:54 | La redaction | 24 commentaires

La réputation ne fait pas tout. Et, comme à l’accoutumée, Mac OS X n’a pas manqué de faillir lors de la dernière édition du concours Pwn2Own, lors de CanSecWest. Cette fois-ci, ce sont les Français de Vupen Security qui ont réussi à trouver et exploiter une faille de WebKit, le moteur de rendu HTML de Safari - notamment.

Il faut dire que Vupen s’est fait une spécialité de ce qu’il convient d’appeler «l’intrusion amicale» ou, autrement dit, le test de pénétration. Parmi les clients de Vupen Security, on compte notamment Microsoft, Shell, Sagem ou encore l’IGN. Leur métier, c’est la mise à l’épreuve des stratégies de sécurité appliquées aux systèmes d’information. Des équipes suffisamment efficaces pour que, lors de l’édition 2009 des Assises de la Sécurité, l’atelier de Vupen ait fait salle comble et ait attiré l’intérêt de représentants de la grande distribution, des télécommunications ou encore de l’Armée.

Pour iOS, c’est encore Safari qui a servi de porte d’entrée. Et c’est un habitué qui s’est attelé à la tâche : Charlie Miller. Analyste Sécurité chez Independent Security Evaluators, Charlie Miller a été quatre fois distingué lors de Pwn2Own. Sur Twitter, il se décrit comme le «monsieur 0-day d’Apple», autrement dit celui qui déroule des failles inconnues jusque-là dans les logiciels de la firme à la pomme. L’une des spécialités de Miller, c’est le Fuzzing. Une approche de la recherche de vulnérabilités développée notamment par Ari Takanen, directeur technique du finlandais Codenomicon. Avec Jared DeMott et Charlie Miller, il a co-signé un ouvrage dédié au sujet, «...

Lire la suite

Pwn2Own : Google corrige déjà une faille de sécurité 15/03/2011 | 00:50 | Nicolas Furno | 9 commentaires

Chrome, le navigateur de Google, a résisté, faute de candidat, au défi de Pwn2Own, événement au cours duquel des hackers et chercheurs en sécurité essaient de faire tomber des navigateurs en utilisant une faille de sécurité. Pourtant, Google a corrigé une faille de sécurité de Webkit, le moteur d'affichage des pages utilisé par Chrome. Cette faille a été en fait exploitée par l'équipe qui a fait tomber le navigateur du Blackberry Torch (lire : Pwn2Own 2011 : l'iPhone et un BlackBerry sont tombés) et elle concerne tout autant les navigateurs Webkit, Chrome donc, mais aussi Safari.

Comme toujours, Google a été extrêmement réactif dans la correction de cette faille jugée sérieuse par le géant de la recherche. Fidèle à son habitude, l'entreprise n'a rien dévoilé de précis concernant cette faille qui concerne apparemment une corruption de la mémoire liée aux styles. Google a donné 1337 $ à l'équipe qui a déniché cette faille, 1337 $ qui viennent s'ajouter aux 15 000 gagnés pour avoir fait tomber le smartphone.

Comme toujours également, Apple refuse de commenter ses corrections de failles de sécurité. L'entreprise de Cupertino est néanmoins rarement prompte à corriger les failles et on ne sait pas quand la correction interviendra. Pendant le Pwn2Own, l'iPhone était aussi tombé, mais iOS 4.3 sorti depuis rend visiblement la tâche beaucoup plus difficile pour les hackers.

Sur le même sujet :
- CanSecWest : Safari tombe sur une faille de sécurité WebKit
- Pwn2Own 2011 : Apple, victime de son succès ?

Pwn2Own 2011 : Apple, victime de son succès ? 14/03/2011 | 15:43 | Christophe Laporte | 39 commentaires

Pendant trois jours, les hackers et chercheurs en sécurité se sont succédé pour faire tomber les principaux navigateurs web du marché sur les principaux ordinateurs et smartphones. Le bilan n'est pas flatteur pour Apple à première vue : Safari sur Mac est tombé dès le premier jour et Safari Mobile a connu les mêmes déboires le lendemain..

En ce qui concerne Safari pour Mac, c'est une société française, Vupen Security, qui est parvenu à exploiter en premier une faille inconnue de Webkit et a raflé la mise et empoché au passage 15 000 $ ainsi qu'un MacBook Air. En conduisant l'utilisateur sur un site spécifique elle a réussi à déclencher en retour et, sans autre intervention de la personne, à lancer l'utilitaire Calculette et à écrire un fichier sur le disque dur de la machine. Le tout sans faire planter Safari. Entre dénicher la faille et se doter des moyens de l'utiliser, il a fallu une quinzaine de jours à l'équipe de Chaouki Bekrar pour parvenir à ses fins (lire : CanSecWest : Safari tombe sur une faille de sécurité WebKit).

De leur côté, Charlie Miller et Dion Blazakis ont réussi à exploiter une faille présente dans Safari Mobile. Les deux chercheurs sont parvenus à récupérer des données stockées sur un iPhone 4, sans que cela ne nécessite d'interaction (ou peu) de la part du propriétaire du téléphone (lire : Pwn2Own 2011 : l'iPhone et un BlackBerry sont tombés).

Mais de l'aveu même de Charlie Miller, cela a été plus compliqué que les autres années. Il a fallu aux deux chercheurs des mois de travail et le hack ne fut...

Lire la suite

Pages