Lors de la dernière journée des deux concours qui se sont tenus lors de la CanSecWest conférence à Vancouver, des chercheurs ont dévoilé une vulnérabilité de type zero-day dans Chrome et Firefox. Au final, l'ensemble des chercheurs de bugs ont été récompensés pour un montant de 210 000 dollars. La faille dans Chrome a été soumise par un adolescent identifié comme étant « Pinkie Pie » au concours « Pwnium » parrainé par Google. Après avoir vérifié que le travail de Pinkie Pie répondait aux exigences de Pwnium pour qualifier de complète l'attaque de Chrome- c'est-à-dire l'utilisation de deux bugs dans le propre code du navigateur et dans la technologie de sandbox, l'éditeur lui a décerné une prime de 60 000 $. Il était le deuxième à obtenir cette récompense. Mercredi dernier, Google a versé 60 000 $ à Sergey Glazunov, un habitué de ce type de compétition. Jason Kerney, responsable du programme Chrome a salué les performances des pirates et a annoncé la mise à jour du navigateur, patché 3 fois la semaine dernière. Il a aussi prévu de publier les techniques utilisées par les deux pirates.

L'officieux et l'officiel

En parallèle, le concours « Pwn2Own » soutenu par HP TippingPoint, s'est terminé par la découverte d'une faille de type zero-day sur Firefox de Mozilla par une équipe de 2 personnes : Vincenzo Iozzo et Willem Pinckaers. Ils ont gagné 30 000 dollars. Enfin, une équipe de la société française Vupen a remporté le premier prix du concours, 60 000 dollars, pour avoir réussi à craquer Chrome et Internet Explorer. Les organisateurs n'ont pas attribué le prix de 15 000 dollars pour la 3ème place, car seules deux équipes ont concouru.

Sur l'ensemble des évènements, les sommes versées sont de 210 000 dollars, un record pour la CanSecWest conférence. Le seul navigateur qui n'a pas été affecté lors des concours est Safari d'Apple. Cela n'était pas arrivé depuis 6 ans.