Un gagnant du concours Pwn2Own renvoie Apple et Microsoft à leurs bogues

Charlie Miller, lauréat, pour la troisième année consécutive, du concours de hacking Pwn2Own, a déclaré que la sécurité était un tel défi aujourd'hui qu'il ne livrerait pas les 20 failles qu'il a identifié dans les logiciels d'Apple, d'Adobe et de Microsoft.

A l'issue du concours, l'analyste de Baltimore se dit fatigué par l'absence de progrès en matière de sécurité et invite les éditeurs à rechercher eux-mêmes leurs bogues. Le développeur qui s'était distingué en 2008 et 2009 pour avoir mis à jour une vulnérabilité sur Safari, a réussi une fois encore à craquer le navigateur Safari d'Apple sur un MacBook Pro tournant sous Snow Leopard. «Nous trouvons un bug, ils le patchent, », a déclaré M. Miller. « Nous trouvons un autre bug, ils le corrigent encore. Cela n'améliore en rien la sécurité du produit. C'est vrai que le logiciel est chaque fois un peu mieux, mais les éditeurs ont vraiment besoin de faire de grands progrès en la matière et je ne peux pas le faire à leur place.

Avec quelques simples lignes de code, Miller a créé ce qu'il a appelé « un générateur de bruit muet. » Cet outil capable de chercher automatiquement les défauts des logiciels, agit en essayant d'insérer des données pour voir là où le programme échoue. Cette technique appelée fuzzing est couramment utilisée non seulement par les chercheurs, mais aussi par les développeurs pour repérer les bugs lors des tests logiciels. Microsoft par exemple, s'est souvent vanté d'utiliser le fuzzing en phase finale de fabrication de ses produits dans le cadre de son cycle de développement sécurisé (SDL) maison.