CanSecWest 2013 : Safari vainqueur mais sans combattre

Florian Innocente |
Safari est resté debout à l'issue de la conférence CanSecWest de Vancouver qui a réuni des spécialistes en sécurité entre le 6 et le 8 mars. Mais pour une raison simple, aucun des participants n'a tenté de trouver un défaut dans sa cuirasse…

Ce rendez-vous annuel est toujours l'occasion de mettre à l'épreuve les principaux navigateurs du marché, avec des récompenses sonnantes et trébuchantes pour les plus adroits des participants (en plus du portable ayant servi à la démonstration). Chrome, Internet Explorer et Firefox ont tous les trois révélé des failles de sécurité.

L'épreuve consistait à injecter du code sur la machine hôte après une visite sur une page web contaminée et de l'exécuter, même en présence d'une protection de type sandboxing. Le tout devant être obtenu sans interaction, ou très faible, de la part de l'utilisateur. La démonstration ne devait excéder 30 minutes et elle devait utiliser une faille inconnue de l'éditeur du navigateur.

La société française VUPEN Security s'est une nouvelle fois illustrée, elle est une habituée de ce concours. Elle a réussi à mettre en défaut IE 10 sur Windows 8 fonctionnant sur une tablette Surface Pro, Firefox sur Windows 7 et les plug-ins Java et Flash sur Windows 7. Ce qui lui a rapporté la bagatelle de 250 000$ (191 000€) et une publicité supplémentaire. Mozilla a déjà corrigé son navigateur et distribue aujourd'hui une version 19.0.2.

Chrome a été défait par une autre équipe. Le plug-in Java sur Windows l'a été en tout par quatre équipes ou participants et le plug-in Reader d'Adobe est tombé au moyen d'une faille trouvée par George Hotz, alias GeoHot.

Fait nouveau, personne n'a touché à Safari, qui avait été attaqué avec succès par le passé. Pas d'explications à cela. On peut y voir la preuve d'une solidité plus importante du couple Safari et Mountain Lion. Ou bien un désintérêt devant l'enjeu (ce n'était pas Safari Mobile mais sa version Mac) ou une raison purement financière. Les exploits réalisés sur Internet Explorer rapportaient de 75 000 à 100 000$, contre 65 000$ pour Safari. Toutefois Firefox était une marche en dessous avec 60 000$. Une victoire donc pour le navigateur d'Apple mais sans attaquants…

avatar vonjos | 
C'est aussi une tactique de dissuasion comme une autre : les cambrioleurs et autres voleurs préfèrent aller au plus facile... Mac démontre une fois de plus qu'il demeure "pour l'instant" plus simple et easy-money de continuer à s'attaquer aux PC :-)
avatar ErGo_404 | 
Je ne suis pas sûr qu'il y ait quoi que ce soit de glorieux pour Safari dans ce fait, contrairement à ce que pourrait laisser sous entendre l'article. Les concours pareils rapportent de l'argent mais aussi de la pub. Si Safari rapportait moins, c'était essentiellement parce que les organisateurs ont estimé que c'était plus facile de le hacker. Et si personne ne s'y est mis, c'est probablement qu'il n'y avait aucune gloire pour eux à le faire. Pour moi ce concours montre que Microsoft a mis la barre assez haut sur son Windows 8 avec IE (même s'ils ont bien évidemment fini par tomber) et que Chrome reste aussi une référence dans les navigateurs.
avatar ziggyspider | 
@ ErGo_404 : Aucune gloire à potentiellement véroler tous les iPhone de la planète ? Je ne les connais pas, mais je suis sûr qu'il y en a que ça intéresse !
avatar Anonyme (non vérifié) | 
@ErGo_404 Aucune gloire... Mais 65000$ sur le compte en banque ça ne se refuse pas. Je pense surtout que les autres navigateurs sont plus rentables niveau faille(s).
avatar Hurrican | 
@ ErGo_404 Je ne suis pas du tout de ton avis. Personne n'aurait hésiter à faire tomber Apple une fois de plus, et qui plus est pour 65000$. Ce genre d'attaque se préparant longtemps à l'avance, il y a fort à parier qu'ils n'ont tout simplement pas trouvé une faille assez aisée à utiliser pour tenter le coup. Surtout depuis que les outils d'Adobe et Java sont désactivés par défaut. Quant à Chrome... il est certes rapide, mais question sécurité il n'est pas au top. Et pour cause, ils avancent à allure forcée, et les versions dites stables profitent bien trop rapidement des évolutions des beta.
avatar Nicolas R. | 
@ziggy : Oui sauf que c'est la version Mac de Safari qu'ils ont entre les mains ;) @Weeta & @Hurri : ça semblera assez étrange pour nous, mais ces hackers gagnent très bien leurs vies. Se faire un nom, lorsqu'on a souvent dans ce milieu un ego au-delà de l'imaginable, c'est généralement plus important qu'une poignée de dollar. Mais je vous l'accordes je cracherais pas dessus non plus. Quant au fait qu'ils n'aient pas trouvés de failles, c'est une blague ? Flash désactivé par défaut ou pas installé ? Je sais pas comment font certains sans flash ni Java (encore que lui, bon).
avatar A884126 | 
Je ne pense pas que cela soit une question d'argent puisque FF 50K$ rapportait moins que Safari 65K$ Ce n'est pas non plus une question de facilité, car si Safari était plus facile à craquer pourquoi alors se priver facilement de 65K$ Donc, soit pas de concurrence et donc pas d'intérêt "sportif" à se battre tout seul. Soit gros lobbying d'Apple, mais je n'y crois pas. Soit la part de marché de Safari est encore trop faible pour susciter l'intérêt des hackers. Bref, il aurait fallu être sur place et leur poser la question...
avatar GaelW-Mac | 
@ErGo_404 Si c'est pas du troll (ou de la stupidité ?) de compétition ça...
avatar Alf38 | 
Surtout qu'exploiter les failles des logiciels de Microsoft, c'est devenu assez banal depuis le temps (sans rien retirer à la performance de ceux qui ont trouvé ces failles), et c'est presque devenu normal, donc côté pub c'est assez limité. Alors que trouver une faille dans un logiciel de chez Apple, c'est l'assurance d'un max de pub en faisant la une des sites web, même généralistes.
avatar Trollolol | 
Banal ? Devoir cumuler plusieurs failles pour arriver à faire quelquechose c'est banal ?
avatar Mirage Breton | 
Deux cas possibles: - Safari est trop dur à attaquer (je doute, mais bon). - Attaquer Safari n'intéresse personne. Dans les deux cas, c'est l'utilisateur qui est gagnant... Rien de plus efficace en matière de sécurité qu'un soft qui n'intéresse pas les pirates ;)
avatar BenUp | 
Safari est peut être une passoire donc aucun challenge ?
avatar Jeje680 | 
Tu parle d'une victoire minable !
avatar hok | 
Mais nimp les exploits sont pas développé en direct, s'il n'y avait personne pour participer contre Safari c'est simplement car personne n'a trouvé d'exploit. Aprés sachant que les prix ont le même ordre de grandeur, c'est bien que Safari est plus résistant cette année.
avatar joneskind | 
@BenUp : Beh si c'est une passoire, vas y, fonce ! 65 000 balles, passoire ou pas je prends. Si c'était si simple, tu pourrais organiser un petit blitz. Le challenge c'est pas de le hacker, mais de le hacker le plus rapidement possible. Des challenges y en a de toutes sortes en informatique. Moi je pense plutôt qu'ils ont tous essayé et qu'ils n'ont pas trouvé de moyen simple d'y arriver. Qui cracherai sur 65 000 balles et le plaisir de dire que la sécurité du Mac c'est fini ? Toi ça a l'air de te faire plaisir en tout cas. Mais tu devrais relire l'article. Quelles sont les failles utilisées ? Pas les failles des navigateurs mais les failles des plugins. Safari n'a pas été touché parce Safari est livré sans plugin. C'est pas plus compliqué que ça.
avatar Yyyes | 
@gaelw-mac : +1 Et du troll efficace, puisque certain prennent le temps de lui répondre..
avatar Anonyme (non vérifié) | 
@ErGo_404 En voilà un qui a tout compris. MDR Travaillant dans ce domaine je peux te certifier, qu'un hacker ne va pas se casser le cul sur un truc ou il a peut de chance d'aboutir en trouvant un exploit alors qu'à côté il y à plus facile. Entre gagner à coup sur une certaine somme et tenter de gagner beaucoup plus mais avec moins de chance de résiste, vous, vous choisiriez la 2ème visiblement :)
avatar Trollolol | 
joneskind [08/03/2013 14:37] via MacG Mobile "Le challenge c'est pas de le hacker, mais de le hacker le plus rapidement possible. Des challenges y en a de toutes sortes en informatique." Vu qu'ils arrivent avec des exploits déjà conçu en 5min c'est plier. Ils travaillent pas sur place et à moins que le concours ne dure plusieurs semaines, en 3 jours ya que java qui pourrait tomber. "Mais tu devrais relire l'article. Quelles sont les failles utilisées ? Pas les failles des navigateurs mais les failles des plugins. Safari n'a pas été touché parce Safari est livré sans plugin. C'est pas plus compliqué que ça." Sauf que d'après Vupen et les autres qui ont participer c'pas des failles dans les plugins mais directement dans les navigateurs qui ont été utiliser. Flash et Java c'est à part du hack de navigateur. Pk Vupen n'a pas toucher safari ? Ca doit rapporter bien plus de la vendre à un privé ou à apple directement que de l'utiliser dans un concours où l'on doit ensuite founir à l'éditeur tous les détails.
avatar Gueven | 
Vu que le concours est préparé, si faille existait et avait été trouvé, 65k aurait trouvé acquéreur. Tout est question d'effort. Là, l'effort ne devait pas être rentable.
avatar Hari-seldon | 
Ce que je vois moi c est que tout ces navigateurs qui sont tombés tournaient sur windows. Pourquoi ne pas avoir tente de faire tomber Firefox ou chrome sur un Mac OS?

CONNEXION UTILISATEUR