Pwn2Own 2017 : de nouvelles failles dans macOS et Safari
Le concours Pwn2Own se poursuit à Vancouver, dans le cadre de la 17e édition de la CanSecWest. Pendant cette compétition, des hackers du monde entier ont quelques minutes pour « craquer » macOS et Windows ainsi que des navigateurs web, récompenses sonnantes et trébuchantes à la clé. Ce sont des dizaines de milliers de dollars qui ont déjà été distribués hier, notamment pour des failles dans Safari et macOS, et la fête était loin d’être terminée.
L’équipe 360 Security est parvenue à craquer macOS (par élévation de privilèges) et Safari (par dépassement d’entier). En tout, elle récupère 45 000 $. L’équipe Chaitin Tech, déjà à l’œuvre hier, a encore eu la peau de macOS en exploitant un bug dans le noyau du système : bim, 10 000 $ de plus dans la besace. La Team Sniper de Tencent Security a exploité une élévation de privilèges pour craquer Safari, ce qui lui permet de remporter 35 000 $ ; en revanche, cette même équipe a été disqualifiée alors qu’elle visait macOS sans utiliser de faille 0 day : le bug était déjà connu d’Apple.
Le concours se poursuit un troisième jour, mais d’après l’agenda, aucun logiciel d’Apple n’est au menu.
Je trouve toujours sidérant le nombre de faille découvertes dans ces événements... Ils sont fait pour cela me dira-t-on...
Mais à l'heure ou les gens, sans froncer sourcilles, mettent tout dans leurs ordi/smartphone, jusqu'à leurs données bio-métrique...
@debione
Techniquement ce ne sont pas tes données biométriques qui sont dans ton iPhone (je ne sais pas pour les téléphones Android…), mais l'équivalent d'un Hash de ces données.
Ce qui est quand même différent.
«Je trouve toujours sidérant le nombre de faille découvertes dans ces événements... Ils sont fait pour cela me dira-t-on...»
Decouverte par Apple et le public qui lit les news consacrés au piratage,oui.
Sinon les hacker passent des mois, voire des annees, a chercher des failles exploitables et viennent en demontrer quelques unes dans ces evenements.
En fait il faut voir pwn2own comme une vitrine commerciale pour les hacker et boites de securité. Ils montrent leurs competences, un echantillon de leur catalogue et ensuite selon les "convictions" ils seront contactés pour vendre leurs trouvailles ou leurs competences sur un marché tres florissant mais totalement inconnu du public...
Il faut comprendre que personne ne va a la pwn2own pour gagner 45 000$, alors que des failles de ce niveau peuvent se negocier 4 fois plus ou etre le gage d'un contrat juteux et a long terme.
«L’équipe 360 Security est parvenue à craquer macOS (par élévation de privilèges) et Safari (par dépassement d’entier)»
Qu'il y ait des failles par dépassement d'entier (buffer overflow) est aujourd'hui inconcevable. C'est l'erreur de programmation la plus ancienne et la plus connu. C'est le truc nº1 qu'on apprend aux ingenieurs a eviter et a pourchasser. Que ce type de bug se trouve dans un soft aussi sensible que Safari est inqualifiable.
Cela en dit long sur les progres a faire du cote d'Apple en terme de securisation. Parce que se lancer dans la perimetrisation en cassant les pieds des developpeurs et des utilisateurs c'est bien beau, mais si on est pas foutu de garantir l'absence d'erreurs de programmation de debutants, ça revient a blinder sa maison et la farcir de systemes de surveillance tout en laissant la clef sur la porte!
Ce qui me fascine c'est qu'ils n'embauchent pas ces mecs chez Apple (et ailleurs).
45000 dolls une fois par an, divisé par 5 ou 6... N'importe quelle boîte high tech peut payer trois ou quatre fois plus à l'année pour que les gars sécurisent les os...
@toketapouet
Oui mais dans ton calcul tu supposes que c'est leur seule source de revenu, ce qui est loin d'être le cas je pense.
@toketapouet
Peut-être que les gars en question veulent pas être embauchés par ces boites ?
Va savoir ;)
Ça se prononce comment "Pwn2Own" ?
Pidabeliouennetouodabeliouenne :-)
Comme ça s'ecrit bien sur, mais en binaire ;)
En même temps, en dehors du monde numérique, la corruption, la prévarication, voire la simple négligence (voir les dossiers classifiés découverts dans des poubelles d'ambassade) laissant nos données personnelles à découvert.
Le monde numérique est à l'image du reste du monde, largement perfectible.
Si cela peut aider : pwned = owned la légende dit que cela vient qu'une faute (p à la place de o) dans un menu de war of warcraft... Mais je crois que tout le monde connaît cette histoire.