Pwn2Own 2011 : Apple, victime de son succès ?

Christophe Laporte |
Pendant trois jours, les hackers et chercheurs en sécurité se sont succédé pour faire tomber les principaux navigateurs web du marché sur les principaux ordinateurs et smartphones. Le bilan n'est pas flatteur pour Apple à première vue : Safari sur Mac est tombé dès le premier jour et Safari Mobile a connu les mêmes déboires le lendemain..



En ce qui concerne Safari pour Mac, c'est une société française, Vupen Security, qui est parvenu à exploiter en premier une faille inconnue de Webkit et a raflé la mise et empoché au passage 15 000 $ ainsi qu'un MacBook Air. En conduisant l'utilisateur sur un site spécifique elle a réussi à déclencher en retour et, sans autre intervention de la personne, à lancer l'utilitaire Calculette et à écrire un fichier sur le disque dur de la machine. Le tout sans faire planter Safari. Entre dénicher la faille et se doter des moyens de l'utiliser, il a fallu une quinzaine de jours à l'équipe de Chaouki Bekrar pour parvenir à ses fins (lire : CanSecWest : Safari tombe sur une faille de sécurité WebKit).

De leur côté, Charlie Miller et Dion Blazakis ont réussi à exploiter une faille présente dans Safari Mobile. Les deux chercheurs sont parvenus à récupérer des données stockées sur un iPhone 4, sans que cela ne nécessite d'interaction (ou peu) de la part du propriétaire du téléphone (lire : Pwn2Own 2011 : l'iPhone et un BlackBerry sont tombés).

Mais de l'aveu même de Charlie Miller, cela a été plus compliqué que les autres années. Il a fallu aux deux chercheurs des mois de travail et le hack ne fut finalisé qu'à la veille du concours, alors que durant les années précédentes, Miller avait préparé son coup longtemps à l'avance. De là à dire que tant bien que mal, Apple progresse sur le front de la sécurité, il n'y a qu'un pas.

Il peut d'ailleurs remercier Apple d'avoir proposé au téléchargement iOS 4.3 si tardivement. En effet, la dernière version du système d'Apple apporte la distribution aléatoire de l'espace d'adressage, un mécanisme visant à renforcer la sécurité des terminaux d'Apple. Si ce mécanisme n'annihile pas la faille, il complique sérieusement sa mise en oeuvre selon Charlie Miller.

Le solutions d'Apple ne sont pas les seules à avoir été prises à défaut, Internet Explorer 8 et Blackberry Torch 9800 ont également cédé aux assauts des chercheurs en sécurité. Chrome, Firefox, et les téléphones sous Android et Windows Mobile sortent indemnes de ce concours, mais on peut se demander si les personnes participant à ce concours ne se sont pas dirigées vers les solutions les plus en vue afin de se faire remarquer. En effet, durant ces trois jours, personne n'a essayé de s'attaquer à ces trois systèmes. Les personnes qui avaient prévu de les mettre à l'épreuve se sont désistées pour différentes raisons. De là à dire que les chercheurs en sécurité tout comme les auteurs de virus et autres malwares sélectionnent leurs plates-formes…

avatar osidrys | 

Tombé le premier jour mais il a fallu des mois de travail ... Est ce une façon sérieuse de présenter de l'info ? Soyez précis et plus explicite. Et surtout, plus de neutralité : insinuer un parti pris des chercheurs en interprétant leur désistement face à Google et Microsoft n'est pas très neutre comme ton journalistique. Les faits, c'est bien ; se féliciter qu'Apple avance sur les questions de sécurité aussi mais pour le reste ... Je suis déçu de la qualité de l'article mais l'info centrale est intéressante alors c'est dommage. Ce sera mieux pour la prochaine ;)

Sinon, pour les éventuels "Ben t'as qu'à pas lire l'article si t'es pas content." je dirai "Ben t'as qu'à essayer d'être un plus ouvert si t'es pour contre la violence et la misère dans le monde.".

avatar Florian Innocente | 

Essai

avatar Toximityx | 

test (a effacer)

avatar pepes003 | 

Mais puisqu'on vous dit que OS X est le plus sûre de tous les OS et qu'il n'y a aucun rapport entre le fait qu'Apple représente de 2 à 5% du parc informatique mondial et qu'il y a peu de virus répertorié sur cet OS.

Moi, ce qui m'a séduit dans Snow Leo c'est son usage au quotidien et aucunement la propagande du "OS le plus sûre, c'est pas comme cette passoire de Windows" (discours vu et revu sur les fofo des futurs switcheurs (ce doivent être des anciens utilisateurs de Windows XP trouvé sur la mule))

Quelque soit les qualités intrinsèques d'un soft, si un comité de hackeurs/pirates se penchent dessus, ça casse.
Et c'est exponentiel, plus y a/aura de ce genre de "comité" et plus des failles seront découvertes. (et on revient à ma première phrase)

avatar mathiouz | 

Quand on cherche , on trouve. c'est normal et c'est tout le problème. aucun système n'est inviolable on le sait. Alors pourquoi enfoncer des portes ouvertes ?
Peut-on penser que ce genre de concours est encouragé par des éditeurs d'antivirus ? d'autant que finalement, ils récompensent des actes et des précédés illégaux. Imaginez ça dans le domaine pharmaceutique : j'invente un virus contre lequel le corps humain n'a aucune défense, puis son vaccin et je le vend à bon prix...quoi c'est déjà le cas ?!!!

avatar jodido | 

@osidrys:
Enfin en même temps on s'en tape un peu aux dernières nouvelles personnes n'utilisent les failles iOs à grande ampleur à des fins malhonnêtes.

avatar lord danone | 

Euh, journalistiquement, presenter un fait comme il est arrivé me parait une bonne chose... Si Safari est tombé le premier jour mais qu'il a fallu des mois de travail pour trouver la faille, je ne vois pas quelle phrase résumerait mieux ce fait que "Safari est tombé le premier jour mais il a fallu des mois de travail pour trouver la faille"...

Et bien sur qu'il y a parti pris vu que personne n'a essayé de craquer les navigateurs des autres OS alors qu'il existe necessairement des failles sur ces autres OS... C'est de la pure logique "sémantique" qui n'a aucun rapport avec le fait que Safari est plus ou moins sécurisé qu'un autre navigateur

avatar grogeek | 

@lordanone

Dans le cas de OSX, ce ne sont pas des mois comme tu sembles le dire:

"il a fallu une quinzaine de jours à l'équipe"

avatar sebastiano | 

@lord danone : oui mais la tournure est de nature à induire en erreur, le commun des utilisateurs lambda pensera que craquer Safari prend 1 jour.

De plus, je trouve cette phrase plutôt débile. Le type a préparé l'attaque des mois à l'avance. Une fois le programme préparé, il n'y a plus qu'à l'exécuter. Donc "tombé dès le premier jour", quel intérêt sinon une formulation trompeuse ?

Et s'ils avaient décidé de lancer leur attaque au 3e jour, ils auraient titré "Safari tombe le dernier jour" ? Ca m'étonnerait.

C'est très facile de jouer avec les mots pour induire en erreur. Un peu comme Apple le fait à travers certaines annonces.

Mais il est de notoriété publique que seule Apple est malhonnête, les autres ne le sont pas, à plus forte raison quand il s'agit de chier sur ... Apple.

avatar tempest | 

Moi ce qui me choque le plus c'est cette phrase :
"Les personnes qui avaient prévu de les mettre à l'épreuve se sont désistées pour différentes raisons."
Peut-on imaginer que ces compagnies ont fait en sorte de ne pas être "attaquées ?
Moyennant finance…?
Pas mal comme deal nous on passe pour imprenables et Apple devient la passoire… Pas con comme choix marketing de la part de la concurrence…
Enfin je dis ça je dis rien.

avatar dariolym | 

@ Mathiouz >
"maginez ça dans le domaine pharmaceutique : j'invente un virus contre lequel le corps humain n'a aucune défense, puis son vaccin et je le vend à bon prix...quoi c'est déjà le cas ?!!!"

encore une petite partie de DeusEx ? ;)

Sinon, concernant la news, ben, c'est le principe de base du "qui cherche trouve" :/

avatar osidrys | 

@jodido

Tout à fait d'accord. Je ne voulais pas dire le contraire d'ailleurs. La question de la sécurité repose toujours sur les mêmes paramètres pour les systèmes modernes : l'utilisateur et l'importance des données. Enregistrer des données importantes sans faire attention à leur protection, enregistrer ses mots de passe, ... beaucoup de comportements à modifier. Il faut l'expliquer aux personnes qui nous entoure quand on le peut, ça aide tout le monde. ;)

avatar n0zkl3r | 

Façon, faut pas se leurrer, Mac OS X n'est pas du tout sécurisé ! Ni Safari !

Apple commence seulement à engager des gens experts en sécurité, car le problème est bien là !

Le succès a ses points négatifs aussi hein. Faut arrêter de défendre coûte que coûte en trouvant des excuses à 2 balles...

Maintenant, Apple connait ces problèmes tout comme les autres OS. S'il y aurait 90% de gens sur Mac OS X et 10% sur Windows, le problème serait inversé... Plein de virus sur Mac et très peu sur Windows...

avatar jodido | 

@tempest
en effet tu dis rien parce que bon si ta théorie était correct ça ferait déjà longtemps que windows ne serait pas le meneur du secteur.

le fait est que les gens s'en tape de savoir si c'est sécurisé ou non (enfin ils savent même pas ce que ça veut dire sécurisé)

avatar simno073 | 

votre justification du pourquoi chrome/firefox/android n'ont pas été attaqué semble biaisé. puisque Vupen Security, par exemple, a mis des mois pour exploiter une faille, les compagnies n'ont pas jugé utile d'être présente pour hacker android en seulement quelques jours si elles n'ont rien trouvé avant...
l'article gagnerais avec un ton plus neutre et envisage les autres possibilités que celle là plus flatteuse.

avatar sebastiano | 

J'aime bien les gens qui jouent les grands équilibristes en disant que c'est partout pareil. Evidemment, tous les OS ont des bugs. Mais certains moins que d'autres, c'est tout. Pas besoin d'avoir fait polytechnique pour se rendre compte qu'OS X est moins buggué que Windows. Il suffit de les utiliser au quotidien.

Je retourne sur ma Galaxy Tab qui vient encore de subir un hard reset. Raison : ça buggue, et plus qu'iOs.

avatar pseudo714 | 

Cette conference est une arnaque en ciblant spécialement du "apple". Ils se sont jamais intéressez à google ou alors ils ont eu plus de la part de google que le prix offert par la conference.

avatar TravisMcQ | 

[i]«Les personnes qui avaient prévu de les mettre à l'épreuve se sont désistées pour différentes raisons»[/i]

Quelles sont ces raisons? Voici ce qui serait intéressant de connaître...

avatar babgond | 

Dire que Chrome/firefox/android n'ont pas été attaqué, car ils ont préférés plutôt d'attaquer a ce qui est plus en vogue...

depuis quand Safari Mac est plus en vogue que Firefox et Chrome ?
on rappelle les PDM des navigateurs ?

avatar Rigat0n | 

Sans tomber dans des théories complotistes, je trouve quand même très bizarre que personne n'aie réussi à hacker Chrome, et qu'Android, pourtant très ouvert, n'aie pas été attaqué.
C'est peut-être une coïncidence.

avatar lukasmars | 

Marrant le ton de l'article. Enfin toujours du même tonneau.
Google avait rajouté un rabiot de 20 000 $ pour qui réussirai à faire tomber Chrome mais les développeurs préfèrent repartir avec le MBA...
A ce niveau , ça n'est plus du parti pris, c'est de la stupidité en barre.

Si les développeurs ne se sont pas présentés, c'est parce que'ils n'ont pas réussi a trouver la faille ou à l'exploiter tout simplement.
Ça vous coûterai quoi de le suggérer plutôt que de sous entendre que Google a fait un chèque pour les empêcher de se présenter.
Vous n’arrêtez pas de vous moquer de la pseudo "conspiration" de Apple (sur la pénurie organisée par exemple) mais dés qu'il s'agit de charger la concurrence des mêmes maux, il ne faut pas vous pousser trop fort pour que vous y allier à fond !

avatar liocec | 

@ tempest :
+1

avatar nuri1951 | 

Cette info manque de précision...la version qui a été hackée de Safari sur Mac était 5.0.3...or Apple a distribué une nouvelle version 5.0.4 juste la nuit de la veille du Pwn2Own 2011...Cette nouvelle version n'a pas été considérée dans Pwn2Own 2011.
Donc on ne peut pas dire que la version courrante du Safari sur Mac est tombée.

avatar lukasmars | 

@nuri1951

Tu crois vraiment ce que tu dis ?
Déjà que Flash était désactivé sur les mac...

avatar dariolym | 

Une explication à ce phénomène "étrange" pourrait-elle être que Chrome et FireFox se mettent plus souvent à jour, ce qui rends plus délicat la recherche d'une faille. En effet, si on ne peut pas chercher à l'avance en étant "sur" d'avoir quelque chose à montrer, autant pas y aller...

Je suggère donc que le meilleur (ou un des meilleurs) moyen de sortir "indemne" de ce genre de "foire au hack", c'est de planifier / de sortir une nouvelle version juste avant :P

CanSecWest: 9-11 mars
Maj. FireFox: 01 et 04 Mars (2011)
Maj. Chrome : 08 mars (2011)
Maj. IE9 : 10 fevrier (2011) (majeur 8 -> 9)
Maj. Safari: ?? (si qqn peut compléter... dernière MAJ sur Wikipedia -> juin 2010)

Étonnant, non?

avatar debione | 

@babgond

Parce que mon père, par exemple, qui ne connait strictement rien à rien, connait apple, mais ne connait en tout cas pas ni firefox ni chrome... c'est des connaissances de geek ça, pas de monsieur tout le monde... La preuve il m'a même parlé du fait que l'iphone est pas sur du tout et qu'on peut sans prob voler toutes les données... (et il a même pas un ordi hein le vieux...)

Apple est plus que très très largement plus en vogue dans la population générale, que chrome ou firefox... Arrêter de croire que la plupart des gens utilisent quotidiennement un ordi, la majorité de la population mondiale ne correspond absolument pas à cela...

avatar curly bear | 

1- je n'ai pas lu de commentaires la-dessus sur différents sites. La faille de Safari est une faille de Webkit. Pourquoi Chrome n'y

avatar curly bear | 

Est pas sensible ?
2- on fait un autre concours : on désactive les anti-virus sous Windows et sous MacOs et on regarde après 1 mois l'état de nos machines ?

avatar Rezv@n | 

@ tempest :
Non, au contraire. Google a même il me semble doublé les gains si quelqu'un réussissait à passer les défenses de Chrome.

avatar elbacho | 

Pour ceux qui pensent toujours que la part de marché est le facteur le plus important dans l'exploitation des failles, je leurs rappellerais qu'Android a moins de part de marché que MacOSX et iOS et pourtant il y a déjà de nombreux malware ou virus.Il y a des failles simple à exploiter et il y a des failles pour salon bien organisé, c'est pas le même marché.
Pour info ils ne sont pas seulement payer Apple, Mais aussi IE8, blackberry et j'en passe, en même temps c'est fait pour cela. Quand on va à une foire aux bétails on y trouve des boeufs.

[quote]n0zkl3r
Façon, faut pas se leurrer, Mac OS X n'est pas du tout sécurisé ! Ni Safari ![/quote]
Combien de fois as tu été embêté sur ton ordinateur équipé d'un OS pas du tout sécurisé ?
Moi sous MacOS jamais, c'est pas une raison pour ne pas s'inquiéter, mais s'en est une pour faire attention a ce qu'on dit.

[quote]n0zkl3r
Maintenant, Apple connait ces problèmes tout comme les autres OS[/quote]
Certes, mais la différence c'est que sur tout les autres OS, les failles ont été exploité de manière très nuisible pour l'utilisateur.

N'oublié pas non plus que le jailbreak, c'est l'exploitation "utile" d'une de ces failles ...

avatar elbacho | 

[quote]Rezv@n
Non, au contraire. Google a même il me semble doublé les gains si quelqu'un réussissait à passer les défenses de Chrome.[/quote]
Dommage qu'il ne l'ai pas fait pour Android ... :D

avatar lukasmars | 

"Dommage qu'il ne l'ai pas fait pour Android ... :D "

C'est pourtant iOS qui est tombé ....Android et W7 sont indemnes.
A te lire, on dirai que c'est l'inverse !

Mais oui, ça devait être decidemment trop facile sous Android (c'est pas les failles qui manquent ! ) alors les développeurs ne l'ont pas fait.
Faut les comprendre, ces gens là recherchent la difficulté, le challenge.
T'aurai fait merveille sous l'ère soviétique toi, au moins ministre de la propagande.

avatar ispeed | 

Safari accouplé à l'osX c'est comme du gruyère le jour qu'une souris l'aura goûtée il faudra se protéger plus que windaube.
Ce n'est plus qu'une question de temps

avatar KevinTran | 

Quelle mauvaise foi...

La mise à jour de Safari a eu lieu quelques jours ou le jour avant la conférence.

Il y a un parti pris qui devient de plus en plus lourd sur ce site et dans le ton rédactionnel employé.

Les failles pour Chrome et Firefox n'étaient peut être pas facilement exploitable, pourtant ce n'est pas la dotation qui manquait... Le modèle Open Source a du bon aussi.

avatar Rigat0n | 

@ lukasmars :
Si Android et WP7 sont indemnes, c'est que personne n'a essayé.

avatar tap | 

@Rigat0n : qu'en sais tu ? Apparament, ils se mobilisent tous pour trouver des failles sur les différents systèmes plusieurs semaines/mois à l'avance.

Malgré ça, ils n'ont rien dit, tu crois sincèrement que ces types la tu peux les calmer avec un chèque ? Héhé, certains oui, d'autres je t'assure que non. Il y a des types qui s'en foutent complètement de l'avis général, ils viennent pirater de l'OS point barre.

Google propose 20000$ pour hacker Chrome, personne n'a trouvé... C'est que Google est sûr de son navigateur (et il a de quoi), rien de plus.

Surtout que Chrome est le 3ème navigateur à être a utilisé après IE et Firefox et le seul qui gagne des PDM.

Mais bon, forcément, il n'y a que sur ce site ou ça va à contre courant, ce qui parfois peut-être une bonne chose pour certaines news ou la rédaction apporte une plus value (et souvent en faveur d'Apple, forcément, mais soit c'est un site Apple). Autant ici, il n'y a pas a diverger plus longtemps... Chrome est resté intact alors qu'après l'annonce du prix de Google, les gens ont forcément relevé le challenge. La vérité c'est que Chrome est mis à jour toutes les 6 semaines et se retrouve moins facilement vulnérable.

avatar dariolym | 

@KevinTran
Quelle mauvaise foi...

Hmm, tu m'excuses, j'essaye juste de comprendre, c'est tout.
Tout le monde rabâche tout le temps que IE est une passoire et un menace de sécurité et il n'est même pas inquiété ici (il fait donc actuellement partie des navigateurs les plus surs, aux cotés de Chrome).
Impossible de trouver des informations sur les versions de softs utilisées et tout ça...

avatar Raoul3187 | 

Pour répondre a ceux qui demande pourquoi personne n'a attaqué Windows et Google, j'ai lu que l'une des équipes qui devait s'occuper de ces plateformes est celle qui a cracké la PS3 et que la non participation est surtout liée aux procès et actions que Sony a lancé contre eux.
Vu la capacité de ces types a trouver un truc sur la PS3 là où tout le monde a échoué durant des année, je ne le fais pas trop d'illusion sur le résultat si ils avaient participé.

avatar iJack | 

@n0zkl3r
"Maintenant, Apple connait ces problèmes tout comme les autres OS. S'il y aurait 90% de gens sur Mac OS X et 10% sur Windows, le problème serait inversé... Plein de virus sur Mac et très peu sur Windows..."

Pour rappel, Apple a connu par le passé des dizaines de milliers de virus (19000 de mémoire, sous MacOs 9). Ce n'est donc pas un phénomène nouveau (ou en passe de le devenir) pour Apple, loin de là.
C'est MacOs X qui a provoqué une destruction massive (et brutale) de ces virus indésirables.
Le prix à payer fut assez lourd quand même (abandon d'une plateforme éprouvée, et logiciels à jeter à la poubelle par dizaine), mais profitable à long terme (système moderne, avec peu d'héritage, contrairement à Windows).
De nouveaux virus reviendront sur notre plateforme, ça, on s'en doute un peu, mais ce n'est plus la tendance, l'heure est plutôt au phising et au vol de données sensibles (toutes les machines sont concernées, mêmes smartphones et tablettes).
Ne RIEN stocker concernant sa banque, ne pas être ADM de sa machine, pas de remplissage automatique dans les formulaires, mettre son OS toujours à jour, voilà quelques arguments pour résister à l'adversité :)

CONNEXION UTILISATEUR