Pwn2Own 2016 attaquera tous les navigateurs sauf Firefox

Florian Innocente |

Dans un mois à Vancouver, Chrome, Safari, Edge et Flash vont passer l’épreuve annuelle de Pwn2Own. Ce rendez-vous fait partie de la manifestation CanSecWest où se réunissent des chercheurs et spécialistes en sécurité. Certains d’entre eux apporteront dans leurs bagages des méthodes encore inédites pour révéler une faille de sécurité majeure dans un ou plusieurs de ces navigateurs. En cas de succès, c’est un chèque assuré de plusieurs dizaines de milliers de dollars.

Il y a un grand absent cette année : Firefox. « Nous avons voulu nous concentrer sur des navigateurs qui ont fait de sérieux progrès sur l’amélioration de leur sécurité » a asséné chez Eweek l’un des membres organisateurs.

JungHoon Lee - le champion de Pwn2Own 2015

Comme pour servir d’illustration à cette décision, un échange dans les forums de Mozilla il y a deux jours a montré que la fondation avait visiblement du mal à gérer rapidement l’évaluation des bugs de sécurité qui lui étaient soumis.

Un développeur s’est ému qu’il se soit écoulé 75 jours avant que ses deux signalements n’aient fait l’objet d’un enregistrement. Et encore, soupirait-il, aucun n’a été testé dans son mode opératoire pour en évaluer la gravité. Les bugs portaient sur un composant secondaire du navigateur a fait valoir son interlocuteur — évoquant aussi des ressources en temps limitées — et il a été placé d’autorité dans la file d’attente des problèmes moins urgents. Mozilla a néanmoins concédé que ce délai était anormal. La fondation a justement mis en place depuis quelques temps un nouveau système pour trier les bugs qui entrent dans sa base et éviter que certains ne prennent la poussière.

Des failles et des chèques

Pas de Firefox donc à Pwn2Own mais un chèque de 65 000 $ pour quiconque saura exploiter une faille dans Chrome, dans Edge et/ou avec Flash tournant dans Edge. La somme est ramenée à 40 000 $ pour Safari.

Les trois premiers navigateurs marcheront à l’intérieur d’une machine virtuelle VMware installée sur Windows. Un bonus de 75 000 $ sera accordé si le hacker parvient à faire exécuter son code sur la machine hôte, depuis l’intérieur de la VM. Et 20 000 $ de mieux s’il exploite une faille système ou bien au niveau root.

L’attaquant dispose de trois essais de 15 minutes chacun, sans recours possible à la ligne de commande. Il lui faudra simplement naviguer vers le contenu capable de perforer les défenses du navigateur. Interdiction de répondre à des boites de dialogue pour exécuter son action, pas le droit de redémarrer, ni de quitter et revenir dans sa session ou bien encore d’exécuter un script au démarrage de la machine. Quant aux Mac et PC utilisés, ils utiliseront les dernières versions d’OS X et Windows en date.

L’année dernière, tous les navigateurs en lice avaient été défaits à des degrés divers : quatre failles exploitées dans Internet Explorer 11, trois dans Firefox, deux dans Safari et une dans Chrome. L’un des hackers — JungHoon Lee, alias lokihardt — avait établi un record de gains pour un participant travaillant en solo, en s’attaquant à IE puis à Chrome et enfin à Safari. Ce jeune sud-coréen était reparti avec 110 000 $ en poche, sans oublier la publicité pour ses talents que procure ce type d’épreuves.

avatar le ratiocineur masqué | 

"un chèque de 65 000 $ pour quiconque saura exploiter une faille dans Chrome, dans Edge et/ou avec Flash tournant dans Edge."

Ca fait très cher payé pour un mec qui exploite une faille dans Flash. C'est comme si demain je fais un concours et offre 65 000$ au premier mec qui saura trouver un trou dans une tranche de gruyère et mettre son doigt dedans.

Flash si il veut pas qu'on voit ses trous il devrait suivre l'exemple du gruyère et vraiment se vendre en râpé.

avatar warmac33 | 

trouver un trou dans de l'emmental d'accord, mais pour trouver un trou dans du gruyère...

avatar tbr | 

@warmac33 :
"trouver un trou dans de l'emmental d'accord, mais pour trouver un trou dans du gruyère..."

On sait maintenant pourquoi il y a des trous... dans l'emmental.
C'est à cause des infimes (sans accent circonflexe) particules de paille tombées dans le seau de lait de vache. Ça fermente et ça provoque des bulles (poches de gaz), d'où les trous.
Le gruyère n'a pas de trous car les seaux sont plus propres — on n'est pas en Suisse pour rien — et il n'y a donc pas ou quasiment pas de trou...lalaïtou.

Manquerait plus que les helvètes soient crades avec leurs seaux pour nous faire de l'emmental "suisse".

Fin du HS. :-)

avatar oomu | 

Si le greffon Flash par sa nature (binaire qui interprète du code, en plein milieu d'un autre logiciel, même si par la suite on l'a isolé) est un "risque", ce n'est pas vrai pour autant que les failles sont triviales et à la portée du premier "mec" qui passe par là en mangeant du gruyère. Cela reste tout de même de l'ingénierie.

avatar C1rc3@0rc | 

Oui mais je pense que la principale difficulté avec Flash c'est de n'exploiter que 1 seule faille...
Apres, 65000$ c'est un tarif finalement pas si eleve pour decrouvrir une faille majeure qui est encore exploitable sur des millions de machines!

avatar docdav | 

@le ratiocineur masqué :
J'espère que t'es meilleur en informatique qu'en fromage.

avatar Mrleblanc101 | 

@le ratiocineur masqué :
Aller dans ce cas, mouille toi !
Trouver la faille et l'exploiter sont deux choses différentes

avatar mat 1696 | 

@le ratiocineur masqué :
Le problème c'est que le gruyère n'a pas de trou... alors tu pourrais même aller aux alentours de 90 000 euros...

avatar Pomme_Q | 

@mat 1696 :
https://fr.m.wikipedia.org/wiki/Gruyère_français

avatar Ginger bread | 

Souviens toi de l offre de Vupen..

avatar Neufouad | 

Si c'est si simple… Tu sais ce qu'il te reste à faire. Le prouver et ramener le chèque.

Allez ; tu as un mois pour pondre une méthode infaillible. Pas besoin qu'elle soit simple (en même temps autant profiter du ¼ prévu pour chaque essai), par contre elle doit être distante sinon c'est pas marrant (et c'est pas un vrai hack d'abord). L'article relate bien le protocole pour le moins « carré » de l'épreuve.

Bon courage et bonne chance ! :o))

avatar Liena | 

Parce que les pirates n'utiliseront pas TOITES les possibilités a leur disposition ?? Drôles de contraintes...

avatar deltiox | 

Les limitations imposées par l'épreuve me font peur
Est ce à dire qu'avec une ligne de commande (même à distance?), ou des boîtes de dialogue il serait enfantin de hacker le browser ?
Brrr, ça fait froid dans le dos

avatar marc_os | 

@deltiox :
Tu fais comment pour ta ligne de commande à distance ?

avatar ipfix8 | 

Cela illustre exactement pourquoi le monde du gratuit n'a pas d'avenir. Des promesses et rien derrière...
Que de pertes d'énergie, de temps et de moyens :(

avatar C1rc3@0rc | 

Le gratuit... peut être, le libre surement pas.
Mozilla Corp est une entreprise a but lucratif.
Sachant qu'aujourd'hui derriere Mozilla c'est Yahoo et donc Microsoft qui finance ça explique aussi beaucoup de choses.
De plus la priorité de Mozilla c'est de produire un navigateur qui respecte les standards du W3C, pas un navigateur securisé.
La securité comme priorite c'est aujourd'hui du cote de Google qu'il faut la chercher.

avatar Aimstar95C | 

Avec toutes ces contraintes je pe demande comment ils peuvent procéder.

C'est limite s'ils ont le droit de toucher au clavier lol

avatar XiliX | 

Vu la nature du hack... à distance, sans aucun accès physique, ça sent du Vupen à plein nez :(

avatar Jeanlucesi | 

Sous Firefox depuis des années, aucun soucis particulier.

avatar Osborne | 

c'est du foutage de gueule ce concours ! Parce qu'il y a un "mauvais élève" (Mozilla) on l'exempte d^être testé !

Conclusion, les GEEKS brailleurs et les ados vont cracher sur les forums qui vont bien en dénonçant à grand coup de mots d'oiseaux les Safari, Google, Edge pour faire la pub de Mozilla qui plonge dans les abimes.

C'est le règne de la rumeur…

avatar Gregory Magnin | 

@le retrocineur masqué : le vrai Gruyère original n'a pas de trou ... Parole de Gruérien.

avatar melenox | 

@gregory magnin: +1, la grevire est là.

Pour le reste, je trouve un peu léger de ne pas vouloir tester Firefox. C'est se foutre de la gueule de ses utilisateurs.

CONNEXION UTILISATEUR