Fermer le menu
 

pwn2own

Toute l'actualité sur pwn2own

Safari : Apple corrige les failles découvertes à Pwn2Own

| 02/04/2014 | 00:45 |  

En parallèle au Safari de Mavericks, celui de Mountain Lion et Lion est également corrigé au moyen d'une version 6.1.3 à récupérer depuis le Mac App Store. Point de nouveautés sur les notifications puisque ce système est réservé au 10.9, mais du mieux dans le remplissage des formulaires et sur les questions de sécurité (lire Safari 7.0.3 améliore sa gestion des notifications dans Mavericks).

À la mi-mars, Safari et ses concurrents avaient été mis en échec par des hackers lors de la compétition Pwn2Own au Canada. Apple, dans le détail des failles de sécurité bouchées dans Safari 6.1.3 et 7.0.3, mentionne l'équipe chinoise KeenTeam et les Français de Vupen, deux groupes qui étaient repartis avec de jolis chèques pour leurs exploits (lire Safari et les autres sont tombés lors du concours Pwn2Own). L'essentiel des autres failles a été mis en lumière par les ingénieurs de Google et d'autres l'ont été en interne chez Apple.

Keen Team après leur démonstration - crédit pwn2own

> Accéder aux commentaires

Safari et les autres sont tombés lors du concours Pwn2Own

| 14/03/2014 | 16:50 |  

Safari est lui aussi tombé au deuxième et dernier jour du concours Pwn2Own qui se tenait à Vancouver. Des failles de sécurité ont permis à Keen, une équipe chinoise, de forcer l'exécution d'un code par le navigateur. Une trouvaille qui leur assure un chèque de 65 000$ (46 000€), auxquels s'ajoutent 75 000$ pour un exploit sur Flash. Les participants ont 30 minutes maximum pour faire la preuve de leurs trouvailles, ils repartent également avec l'ordinateur qui a servi de support à leur démonstration.

Keen Team après leur démonstration - crédit pwn2own

L'équipe s'est appuyée sur deux vulnérabilités pour franchir les dispositifs de sécurité de Mavericks et de WebKit. Le remède à cette vulnérabilité dans WebKit ne devrait pas être compliqué à réaliser, a expliqué Liang Chen. Ce sera peut-être plus compliqué pour la faille système, ajoute le hacker, car elle réside dans la méthode de conception du logiciel. Des ingénieurs d'Apple assistaient par ailleurs à ce traditionnel événement, sponsorisé par HP.

« S'agissant d'Apple, l'OS est considéré comme très sûr et basé sur une architecture très bien sécurisée » a expliqué Liang Chen « Même si vous disposez d'une vulnérabilité, il est très difficile de l'exploiter. Aujourd'hui nous avons pu démontrer que le système peut quand même être pris en défaut. Mais en général, la sécurité dans OS X est plus élevée que sur d'autres systèmes d'exploitation ».

Chrome, Firefox, Internet Explorer et Adobe Reader ont eux aussi été défaits lors de ce concours. En marge de ces efforts, Google a fait la démonstration d'un exploit qui a fait lancer par Safari l'utilitaire Calculette avec les droits root. À noter au passage que Firefox fut mis à terre par George Hotz, le célèbre jailbreaker d'iOS, qui a empoché 50 000$.

Toutefois, à en croire le français Chaouki Bekrar de Vupen Security (un habitué de ces concours et des récompenses associées), les navigateurs sont devenus particulièrement robustes, en particulier Chrome et ceux fonctionnant sur Windows 8.1. Vupen a encaissé pas moins de 400 000$ en deux jours (287 000€).

Chaouki Bekrar entre ses homologues de l'équipe Keen

Par le versement de récompenses pour ces découvertes, l'organisateur s'assure qu'elles ne seront pas dévoilées dans l'immédiat, mais mises à disposition des éditeurs concernés. Ces derniers disposeront d'un certain délai pour boucher ces failles. Une partie de cet argent est reversé par leurs bénéficiaires à des organisations caritatives. La somme totale payée cette fois aux équipes en présence a atteint un million de dol...

> Lire la suite et accéder aux commentaires

Pwn2Own 2013 : 65 000 $ de récompense pour Safari

| 22/01/2013 | 15:29 |  

Comme chaque année, la conférence CanSecWest sera le théâtre du concours de sécurité Pwn2Own. Cette compétition oppose des hackers qui tentent de trouver des failles dans les navigateurs web et de les exploiter.

L'organisateur a dévoilé les différentes récompenses pour l'édition 2013. Le premier participant parvenant à compromettre la sécurité de Chrome sur Windows 7 empochera 100 000 $ (75 000 €), tout comme celui qui se sera attaqué avec succès à Internet Explorer 10 sur Windows 8. Concernant OS X, le prix est de 65 000 $ pour Safari sur Mountain Lion.

Il sera aussi possible de s'attaquer à des plug-ins. Les cibles sont Adobe Reader XI, Flash et Java sur Internet Explorer 9. Alors que la prime pour les deux plug-ins d'Adobe s'élève à 70 000 $, l'exploitation d'une faille dans Java n'est récompensée « que » par 20 000 $. De là à dire qu'il s'agit d'une cible plus facile...


Photo Jeff Keyzer CC BY SA

L'année dernière, l'équipe française Vupen Security s'était illustrée en mettant à mal Chrome (lire : CanSecWest : Chrome s'effondre deux fois).

> Accéder aux commentaires

Pwn2Own : Internet Explorer tombe à son tour

| 09/03/2012 | 14:51 |  

Après Chrome, c'est au tour d'Internet Explorer 9 d'être hacké lors du concours Pwn2Own organisé à l'occasion de la conférence CanSecWest. C'est encore l'équipe de Vupen Security qui s'est distinguée. Le leader français des solutions de gestion des vulnérabilités informatiques était déjà l'auteur des deux attaques qui lui ont permis de faire trébucher le navigateur de Google (lire : CanSecWest : Chrome s'effondre deux fois).

Comme pour Chrome, Vupen Security est parvenu à exploiter une faille dans le bac à sable d'Internet Explorer. Chaouki Bekrar, PDG de Vupen, précise que la tâche fut plus aisée que pour Chrome. Ce dernier est bien plus évolué que celui d'Internet Explorer. Toutefois, avec IE10, Microsoft devrait être sur ce plan quasiment au même niveau que Chrome.


L'équipe de Vupen Security / Image : Dan Godin (Ars Technica)

Concrètement, il suffit que le PC charge une "simple" page web pour que les hackers puissent prendre le contrôle de la machine.

Safari et Firefox n'ont toujours pas cédé aux assauts des "hackers". D'habitude, le navigateur d'Apple était souvent le premier à tomber. A l'image de tous les navigateurs, Safari a beaucoup progressé en matière de sécurité. Toutefois, son invincibilité est également due au fait que certains chercheurs, comme Charlie Miller, n'ont pas participé à cette édition, car ils sont en désaccord avec les nouvelles règles du concours (lire : Pwn2Own 2012 : va y avoir du sport). Pwn2Own 2012 s'achève ce soir.

> Accéder aux commentaires

CanSecWest : Chrome s'effondre deux fois

| 08/03/2012 | 12:21 |  

La conférence CanSecWest est l'occasion du fameux concours primé Pwn2Own, qui a notamment couronné Charlie Miller depuis plusieurs années. Celui-ci ne participera pourtant pas à l'édition 2012, suite à un changement de règles qui le met selon lui hors concours.

Ce changement répond à un problème que Charlie Miller a pu lui-même trouver frustrant : l'ordre des tentatives était jusqu'ici tiré au sort, et pouvait donc laisser pour compte de jolies prouesses, puisque le premier à faire tomber une machine était considéré gagnant.

Pour y remédier le concours Pwn2Own se fait désormais sans filet : les participants doivent venir les mains vides et coder sur place leurs hacks, alors qu'ils pouvaient auparavant amener leurs développement réalisés au préalable. Ainsi, le premier à hacker une machine dans cette course au développement gagne. Charlie Miller considère que cela favorise des équipes de développeurs plutôt que ceux qui participent seuls.

Précisément, c'est l'équipe française Vupen Security qui a remporté la mise, et de belle façon : elle a mis à mal l'image d'invulnérabilité de Chrome, seul navigateur à avoir résisté aux attaques l'an dernier. Il a suffi de pointer Chrome sur une page contenant du code malveillant pour que l'ordinateur lance spontanément la calculette de Windows. L'équipe a utilisé deux failles "zero-day" (des failles qu'elle est la première à avoir identifiées et exploitées). Vupen Security compte conserver la primeur de celle qui lui a permis de contourner le bac à sable de Chrome : la société commercialise ses trouvailles à des clients gouvernementaux, ce qui soulève quelque controverse dans la communauté des experts en sécurité.

Mais Chrome s'est également soumis aux imprécations du russe Sergey Glazunov lors d'un autre concours du CanSecWest, cette fois organisé par Google elle-même : Pwnium. Google a en effet décidé de se retirer du concours Pwn2Own, qui n'exige plus la révélation des failles exploitées par les hackers comme Vupen. Pwnium se consacre exclusivement à Chrome, chaque faille utilisée est récompensée, et le vainqueur a gagné les 60 000 $ mis en jeux. Là aussi il a tiré parti de deux failles zero-day, et Google a admis sa défaite avec tout le fair-play de circonstance. Justin Schuh, responsable de la sécurité de Chrome, a admiré la prouesse comme il se doit : « L'exploit était impressionnant. Il exigeait une profonde compréhension de la manière dont Chrome fonctionne. Ça n'est pas une mince affaire à réaliser. C'est très difficile et c'est pourquoi nous le récompensons avec 60 000 $ ».

Naturellement Google se fait fort de fournir une correction des failles concernées au plus vite, du moins pour celles qui lui auront été dévoilées.

> Accéder aux commentaires

Mac OS X 10.6.7 corrige la faille Pwn2Own

| 23/03/2011 | 00:08 |  

La faille de sécurité exploitée par Charlie Miller lors du défi Pwn2Own pour faire tomber le système d'Apple a été comblée avec Mac OS 10.6.7 sortie hier (lire : Mises à jour : Mac OS X 10.6.7 est de sortie). Cette mise à jour corrige notamment 56 failles de sécurité, parmi lesquelles se trouvent celles exploitées par l'expert en sécurité, mais aussi d'autres bugs que Charlie Miller avait déniché dans Mac OS X et qu'il n'avait pas exploités, ni révélés à Apple.

La faille existe toujours dans un produit Apple puisqu'elle est encore présente dans iOS. Apple travaillerait activement à une mise à jour qui corrigera notamment ces failles de sécurité (lire : iOS 4.3.1 dans les tuyaux).

> Accéder aux commentaires

Pwn2Own : Google corrige déjà une faille de sécurité

| 15/03/2011 | 00:50 |  

Chrome, le navigateur de Google, a résisté, faute de candidat, au défi de Pwn2Own, événement au cours duquel des hackers et chercheurs en sécurité essaient de faire tomber des navigateurs en utilisant une faille de sécurité. Pourtant, Google a corrigé une faille de sécurité de Webkit, le moteur d'affichage des pages utilisé par Chrome. Cette faille a été en fait exploitée par l'équipe qui a fait tomber le navigateur du Blackberry Torch (lire : Pwn2Own 2011 : l'iPhone et un BlackBerry sont tombés) et elle concerne tout autant les navigateurs Webkit, Chrome donc, mais aussi Safari.

Comme toujours, Google a été extrêmement réactif dans la correction de cette faille jugée sérieuse par le géant de la recherche. Fidèle à son habitude, l'entreprise n'a rien dévoilé de précis concernant cette faille qui concerne apparemment une corruption de la mémoire liée aux styles. Google a donné 1337 $ à l'équipe qui a déniché cette faille, 1337 $ qui viennent s'ajouter aux 15 000 gagnés pour avoir fait tomber le smartphone.

Comme toujours également, Apple refuse de commenter ses corrections de failles de sécurité. L'entreprise de Cupertino est néanmoins rarement prompte à corriger les failles et on ne sait pas quand la correction interviendra. Pendant le Pwn2Own, l'iPhone était aussi tombé, mais iOS 4.3 sorti depuis rend visiblement la tâche beaucoup plus difficile pour les hackers.

Sur le même sujet :
- CanSecWest : Safari tombe sur une faille de sécurité WebKit
- Pwn2Own 2011 : Apple, victime de son succès ?

> Accéder aux commentaires

Pwn2Own 2011 : Apple, victime de son succès ?

| 14/03/2011 | 15:43 |  

Pendant trois jours, les hackers et chercheurs en sécurité se sont succédé pour faire tomber les principaux navigateurs web du marché sur les principaux ordinateurs et smartphones. Le bilan n'est pas flatteur pour Apple à première vue : Safari sur Mac est tombé dès le premier jour et Safari Mobile a connu les mêmes déboires le lendemain..

En ce qui concerne Safari pour Mac, c'est une société française, Vupen Security, qui est parvenu à exploiter en premier une faille inconnue de Webkit et a raflé la mise et empoché au passage 15 000 $ ainsi qu'un MacBook Air. En conduisant l'utilisateur sur un site spécifique elle a réussi à déclencher en retour et, sans autre intervention de la personne, à lancer l'utilitaire Calculette et à écrire un fichier sur le disque dur de la machine. Le tout sans faire planter Safari. Entre dénicher la faille et se doter des moyens de l'utiliser, il a fallu une quinzaine de jours à l'équipe de Chaouki Bekrar pour parvenir à ses fins (lire : CanSecWest : Safari tombe sur une faille de sécurité WebKit).

De leur côté, Charlie Miller et Dion Blazakis ont réussi à exploiter une faille présente dans Safari Mobile. Les deux chercheurs sont parvenus à récupérer des données stockées sur un iPhone 4, sans que cela ne nécessite d'interaction (ou peu) de la part du propriétaire du téléphone (lire : Pwn2Own 2011 : l'iPhone et un BlackBerry sont tombés).

Mais de l'aveu même de Charlie Miller, cela a été plus compliqué que les autres années. Il a fallu aux deux chercheurs des mois de travail et le hack ne fut finalisé qu'à la veille du concours, alors que durant les années précédentes, Miller avait préparé son coup longtemps à l'avance. De là à dire que tant bien que mal, Apple progresse sur le front de la sécurité, il n'y a qu'un pas.

Il peut d'ailleurs remercier Apple d'avoir proposé au téléchargement iOS 4.3 si tardivement. En effet, la dernière version du système d'Apple apporte la distribution aléatoire de l'espace d'adressage, un mécanisme visant à renforcer la sécurité des terminaux d'Apple. Si ce mécanisme n'annihile pas la faille, il complique sérieusement sa mise en oeuvre selon Charlie Miller.

Le solutions d'Apple ne sont pas les seules à avoir été prises à défaut, Internet Explorer 8 et Blackberry Torch 9800 ont également cédé aux assauts des chercheurs en sécurité. Chrome, Firefox, et les téléphones sous Android et Windows Mobile sortent indemnes de ce concours, mais o...

> Lire la suite et accéder aux commentaires

CanSecWest : Safari tombe sur une faille de sécurité WebKit

| 10/03/2011 | 07:16 |  

Une équipe française a réussi à toucher une petite somme suite à l'exploitation d'une faille de sécurité dans WebKit, le moteur utilisé par Safari. Vancouver accueille actuellement la conférence CanSecWest et son concours Pwn2Own, où des logiciels et systèmes sont mis à l'épreuve afin de mettre en évidence leurs failles de sécurité (lire CanSecWest : Mac et PC vont souffrir).

L'équipe française de Vupen Security a su exploiter une faille inconnue dans WebKit. En conduisant l'utilisateur sur un site spécifique elle a réussi à déclencher en retour et, sans autre intervention de la personne, à lancer l'utilitaire Calculette et à écrire un fichier sur le disque dur de la machine. Le tout sans faire planter Safari. Cette suite d'opérations était un pré-requis pour les organisateurs de ce concours.

Interrogé par ZDNet, Chaouki Bekrar, le co-fondateur de cette société a expliqué qu'il était en fait plus compliqué de mettre au point les outils pour réaliser ce type de manoeuvre que de trouver des failles dans WebKit. Entre dénicher la faille et se doter des moyens de l'utiliser, cela leur a pris environ 15 jours.

Car la documentation manque autour de Mac OS X dès lors qu'on cherche des infos pour essayer d'exploiter les failles potentielles de cet environnement. Alors que les vulnérabilités dans WebKit sont en définitive assez nombreuses et aisées à trouver avec des outils de fuzzing.

Forte de son exploit, Vupen Security a empoché 15 000$ (10 000€) et un MacBook Air 13".

Internet Explorer 8 sur Windows 7 a aussi eu son heure de gloire via l'exploitation consécutive de trois failles de sécurité, avec les mêmes opérations que sur Safari. Stephen Fewer, l'auteur de cet exploit, a réussi à traverser le mode protégé d'Internet Explorer. Presque un mois et demi lui a été nécessaire pour trouver la méthode. Il est également reparti avec 15 000$ et un portable PC.

D'autres challenges sont prévus, avec en particulier les systèmes et navigateurs sur plateformes mobiles.

> Accéder aux commentaires

CanSecWest : Mac et PC vont souffrir

| 04/02/2011 | 11:27 |  

Comme chaque année se tiendra lors de la conférence CanSecWest à Vancouver les 9, 10 et 11 mars, qui réunit des experts en sécurité venus du monde entier. Comme à l'accoutumée, cet événement accueillera le concours Pwn2Own 2011, durant lequel les participants seront invités à prendre le contrôle d'un Mac et PC en exploitant une faille d'un navigateur web.

Les ordinateurs "mis à disposition" des hackers seront équipés de la dernière version de Mac OS X ou de Windows 7. Ils fonctionneront en 64 bits et comprendront les butineurs suivants : Internet Explorer (sur PC uniquement), Safari, Firefox et Chrome.

Charlie Miller a remporté le concours sur Mac trois années de suite (image : ggee)

Chaque participant aura trente minutes pour mettre en place son attaque. Les gagnants repartiront notamment avec 15 000 $ et l'ordinateur hacké, à savoir soit un MacBook Air 13", soit un Sony Vaio soit un Alienware m11x. Lors des précédentes éditions, Safari a toujours été hacké (lire : Concours CanSecWest : l'iPhone et le Mac ont été piratés).

Un concours similaire sera organisé avec des smartphones. Les téléphones concernés sont un Dell Venue Pro sous Windows Phone 7, un iPhone 4, un Blackberry Torch 9800 sous Blackberry 6 OS et un Nexus sous Android.

De son côté, Google va un peu plus loin. Le géant de l'internet offrira jusqu'à 20 000 $ à quiconque trouvera deux failles dans Chrome dès le premier jour (une pour passer le bac à sable et l'autre pour pirater le navigateur en lui même) ainsi que son fameux netbook le CR-48 (lire : Google sort Chrome 9 et défie les hackers).

> Accéder aux commentaires

Pages