Safari et IE, 1eres victimes du concours de piratage Pwn2Own, Chrome snobé

Ce concours se déroule dans le cadre d'une conférence internationale sur la sécurité à Vancouver. Tous les navigateurs Internet sont soumis à la sagacité des spécialistes et c'est Safari et IE qui ont rendu les armes en premier. Chrome ne suscite pas l'intérêt des experts, alors que les OS mobiles si.

Safari d'Apple et Internet Explorer 8 (IE) de Microsoft ont était les premières victimes du concours Pwn2Own, qui a démarré lors de la conférence sur la sécurité CanSecWest, à Vancouver. Chaque année, cette compétition met au défi et récompense des spécialistes du piratage de se confronter aux navigateurs Internet des différents éditeurs.

Une équipe de la société française de sécurité Vupen a ainsi gagné 15 000 dollars et un MacBook Air après avoir exploité une vulnérabilité non corrigée de Safari. La mise à jour réparant 62 vulnérabilités sur la version 5.0.4 de Safari et publiée juste avant l'ouverture du concours, n'aura pas servi à grand-chose car Vupen a réussi malgré tout à pirater le navigateur.

En ce qui concerne IE, il s'agit d'un chercheur indépendant, Stephen Fewer qui a utilisé 3 failles de sécurité pour percer IE 8 sur Windows 7. Aaron Portnoy, responsable de l'équipe sécurité d'HP Tipping Point et organisateur du Pwn2Own a été impressionné par le travail de Stephen Fewer. « Il a utilisé trois failles seulement pour contourner ASLR et DEP, mais aussi échapper au mode protégé. C'est quelque chose que nous n'avions pas vu au Pwn2Own auparavant. » L'ASLR (address space layout randomization), méthode aléatoire d'adressage et le DEP (Data Execution Prevention) doivent réduire les risques de vulnérabilités et de leur exploitation. Le mode protégé d'IE est la « sandbox », qui isole le navigateur.

Chrome ne fait pas recette, les OS mobiles si

A priori, le navigateur Chrome intéresse moins les experts en sécurité que les OS mobiles comme Blackberry OS, Android, iOS et Windows Phone 7. En effet, malgré les 20 000 dollars de récompenses, peu d'équipes ont décidé de se porter candidat pour pirater le navigateur de Google. Seules deux équipes s'étaient pré-enregistrées pour le concours sur Chrome Moatz Khader et un ou plusieurs chercheurs connus sous le nom « Team Anon » (les candidats peuvent rester anonymes s'ils le souhaitent).

En l'absence de combattants, Google Chrome pourrait être déclaré invincible pour la troisième fois consécutive depuis l'existence du concours Pwn2Own.