IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Expert éminent sénior

    Inscrit en
    Juillet 2009
    Messages
    3 407
    Détails du profil
    Informations forums :
    Inscription : Juillet 2009
    Messages : 3 407
    Points : 149 059
    Points
    149 059
    Par défaut Jusqu'ici, aucun navigateur ne résiste aux attaques des experts en sécurité du Pwn2Own 2010
    Aucun navigateur ne résiste aux attaques des experts en sécurité
    Lors de la première journée du Pwn2Own 2010, le tour de Chrome arrive


    La nouvelle n'en est pas vraiment une.

    Mais elle a au moins le mérite de rappeler une évidence : aucun navigateur n'est sûr à 100 %.

    Safari, Internet Explorer (version 8) et Firefox n'ont pas résisté aux attaques des experts en sécurité lors du Pwn2Own qui se déroule actuellement.

    Le Pwn2Own est concours de hacking où les navigateurs sont mis à rude épreuve. Le but est de mettre à jour leurs failles et leurs vulnérabilités. Le but n'est évidemment pas de créer de l'insécurité. Au contraire, il s'agit d'attirer l'attention des éditeurs sur les faiblesses de leurs applications pour qu'ils puissent les corriger. Les exploits ne sont d'ailleurs pas rendus publiques.

    A noter qu'Opera, le navigateur norvégien, n'est pas présent à cette manifestation.

    Internet Explorer 8 – sur Windows 7, 64 bits, entièrement mis à jour - n'aura tenu que deux minutes. Quant à Firefox (version 3 - et non la 3.6.2 récemment sortie), il n'aura pas duré beaucoup plus longtemps. Les deux exploits réalisés sur ces navigateurs ont permis de contourner les protections intégrées de Windows 7.

    En revanche Google Chrome, avec son bac à sable intégré, devrait, d'après les prévisions, tenir un peu plus longtemps la dragée haute aux participants.

    A suivre donc.



    Source : Le fil Twitter officiel du compte rendu du Pwn2Own 2010


    Lire aussi :

    « Windows 7 et Internet Explorer 8 est la combinaison la plus sécurisée mais sans Flash », déclare un expert en sécurité renommé

    Les rubriques (actu, forums, tutos) de Développez :

    Sécurité
    Windows
    Système
    Développement Web

  2. #2
    Membre actif Avatar de rushtakn
    Inscrit en
    Mai 2006
    Messages
    213
    Détails du profil
    Informations forums :
    Inscription : Mai 2006
    Messages : 213
    Points : 240
    Points
    240
    Par défaut
    Il me semble que chrome a resisté tout simplement parce qu'il n'a pas ete attaqué.

  3. #3
    Membre confirmé Avatar de gmotw
    Profil pro
    Inscrit en
    Mars 2008
    Messages
    384
    Détails du profil
    Informations personnelles :
    Âge : 38
    Localisation : France

    Informations forums :
    Inscription : Mars 2008
    Messages : 384
    Points : 641
    Points
    641
    Par défaut
    Quant à Firefox (version 3 - et non la 3.6.2 récemment sortie), il n'aura pas duré beaucoup plus longtemps.
    Ça signifie que la faille qu'ils ont exploité est celle qui avait été corrigée récemment ou ils ont utilisé d'autres méthodes?
    THIS!IS!NOT!MY!COW!

    CECI!N'EST!PAS!MA!VACHE!
    (mais je persiste à dire que c'est moins classe en français )

  4. #4
    Membre expert
    Profil pro
    Inscrit en
    Mars 2005
    Messages
    1 683
    Détails du profil
    Informations personnelles :
    Âge : 39
    Localisation : France

    Informations forums :
    Inscription : Mars 2005
    Messages : 1 683
    Points : 3 100
    Points
    3 100
    Par défaut
    L'environnement entre-t-il aussi en compte?
    dam's

  5. #5
    Expert éminent sénior

    Inscrit en
    Juillet 2009
    Messages
    3 407
    Détails du profil
    Informations forums :
    Inscription : Juillet 2009
    Messages : 3 407
    Points : 149 059
    Points
    149 059
    Par défaut
    Citation Envoyé par gmotw Voir le message
    ça signifie que la faille qu'ils ont exploité est celle qui avait été corrigée récemment ou ils ont utilisé d'autres méthodes?
    A priori, vu que l'objectif est de trouver de nouvelles failles, je pense qu'il s'agit d'une autre méthode. Mais comme les exploits restent confidentiels j'ai pas plus d'info là-dessus.

    Citation Envoyé par rushtakn Voir le message
    Il me semble que chrome a resisté tout simplement parce qu'il n'a pas été attaqué.
    C'est vrai en plus !!! Mille excuses, j'ai modifié la news.
    On dira que c'est la faute à la fin de semaine, hein ? D'accord ?

  6. #6
    Expert éminent sénior

    Inscrit en
    Juillet 2009
    Messages
    3 407
    Détails du profil
    Informations forums :
    Inscription : Juillet 2009
    Messages : 3 407
    Points : 149 059
    Points
    149 059
    Par défaut
    Pour gmotw (bis) :

    Nils from MWR InfoSecurity succeeded against Firefox on Windows 7 with the quintessential calc.exe launching payload.

  7. #7
    Membre confirmé Avatar de gmotw
    Profil pro
    Inscrit en
    Mars 2008
    Messages
    384
    Détails du profil
    Informations personnelles :
    Âge : 38
    Localisation : France

    Informations forums :
    Inscription : Mars 2008
    Messages : 384
    Points : 641
    Points
    641
    Par défaut
    Citation Envoyé par Gordon Fowler Voir le message
    A priori, vu que l'objectif est de trouver de nouvelles failles, je pense qu'il s'agit d'une autre méthode. Mais comme les exploits restent confidentiels j'ai pas plus d'info la dessus.
    Ok, c'était juste pour savoir.
    Té, c'est vrai en plus !!! Mille excuses, j'ai modifié la news.
    On dira que c'est la faute à la fin de semaine, hein ? D'accord ?
    Ben non, tant que personne n'a craqué Chrome, il résiste, même si c'est parce qu'ils ont rien fait dessus. (Comme on dit: pas d'utilisation, pas d'emmerdes )
    THIS!IS!NOT!MY!COW!

    CECI!N'EST!PAS!MA!VACHE!
    (mais je persiste à dire que c'est moins classe en français )

  8. #8
    Membre du Club
    Profil pro
    Inscrit en
    Janvier 2007
    Messages
    79
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Janvier 2007
    Messages : 79
    Points : 66
    Points
    66
    Par défaut
    Citation Envoyé par rushtakn Voir le message
    Il me semble que chrome a resisté tout simplement parce qu'il n'a pas ete attaqué.
    Il me semble qu'il n'a pas été attaqué parce que personne n'avait d'exploit.

  9. #9
    Membre habitué
    Inscrit en
    Janvier 2009
    Messages
    68
    Détails du profil
    Informations forums :
    Inscription : Janvier 2009
    Messages : 68
    Points : 175
    Points
    175
    Par défaut La partie émergée de l'iceberg
    S'il n'y avait que les navigateurs pour présenter des failles!
    Heureusement que quelques spéléologues passionnés et vertueux livrent gracieusement leurs découvertes aux éditeurs concernés qui n'en demandaient pas tant ; mais ça ne va peut-être pas durer, du moins la gratuité.

  10. #10
    Membre expert
    Profil pro
    Inscrit en
    Mars 2005
    Messages
    1 683
    Détails du profil
    Informations personnelles :
    Âge : 39
    Localisation : France

    Informations forums :
    Inscription : Mars 2005
    Messages : 1 683
    Points : 3 100
    Points
    3 100
    Par défaut
    Citation Envoyé par brulain Voir le message
    S'il n'y avait que les navigateurs pour présenter des failles!
    Heureusement que quelques spéléologues passionnés et vertueux livrent gracieusement leurs découvertes aux éditeurs concernés qui n'en demandaient pas tant ; mais ça ne va peut-être pas durer, du moins la gratuité.
    C'est pas Mozilla qui rénumère les auteurs de bugs (enfin ceux qui les trouvent).
    Et je crois que Google a décidé de faire pareil en proposant 200$.
    dam's

  11. #11
    Membre du Club
    Profil pro
    Inscrit en
    Janvier 2007
    Messages
    79
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Janvier 2007
    Messages : 79
    Points : 66
    Points
    66
    Par défaut
    Citation Envoyé par dams78 Voir le message
    C'est pas Mozilla qui rénumère les auteurs de bugs (enfin ceux qui les trouvent).
    Et je crois que Google a décidé de faire pareil en proposant 200$.
    Je crois que ca va jusqu'à 1337$

  12. #12
    Membre confirmé Avatar de Bryce de Mouriès
    Profil pro
    CPI
    Inscrit en
    Mars 2007
    Messages
    219
    Détails du profil
    Informations personnelles :
    Âge : 36
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : CPI

    Informations forums :
    Inscription : Mars 2007
    Messages : 219
    Points : 558
    Points
    558
    Par défaut
    Finalement je trouve ça plutôt lassant ces histoires de compétition de sécurité, on le sait très bien qu'aucun navigateur n'est parfait en sécurité. Cela fait des années que l'on essaye de toujours sécuriser d'avantage sans jamais atteindre la perfection, car on le sait très bien les hackeurs auront toujours un temps d'avance. Ça pourrait faire l'objet d'un débat "Arrivera-t-on un jour à réaliser une sécurité parfaite ?", pour changer ce qui serait intéressant c'est de savoir que tel navigateur est infaillible ! (du moins jusqu'à la prochaine mise à jour).
    En attendant il ne faut pas rompre ce mouvement perpétuel de hack/correction/hack ...
    Infinity - To The Top, shoot'em up développé en Haxe / OpenFL pour FLASH et Android, piou piou rythmé dans l'espace

  13. #13
    Expert confirmé
    Avatar de Loceka
    Profil pro
    Inscrit en
    Mars 2004
    Messages
    2 276
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Mars 2004
    Messages : 2 276
    Points : 4 845
    Points
    4 845
    Par défaut
    Citation Envoyé par _LVEB_ Voir le message
    Je crois que ca va jusqu'à 1337$
    w00t !

  14. #14
    Membre expert
    Profil pro
    Inscrit en
    Mars 2005
    Messages
    1 683
    Détails du profil
    Informations personnelles :
    Âge : 39
    Localisation : France

    Informations forums :
    Inscription : Mars 2005
    Messages : 1 683
    Points : 3 100
    Points
    3 100
    Par défaut
    Citation Envoyé par Bryce de Mouriès Voir le message
    Finalement je trouve ça plutôt lassant ces histoires de compétition de sécurité, on le sait très bien qu'aucun navigateur n'est parfait en sécurité. Cela fait des années que l'on essaye de toujours sécuriser d'avantage sans jamais atteindre la perfection, car on le sait très bien les hackeurs auront toujours un temps d'avance. Ça pourrait faire l'objet d'un débat "Arrivera-t-on un jour à réaliser une sécurité parfaite ?", pour changer ce qui serait intéressant c'est de savoir que tel navigateur est infaillible ! (du moins jusqu'à la prochaine mise à jour).
    En attendant il ne faut pas rompre ce mouvement perpétuel de hack/correction/hack ...
    Bah non justement, le propre de la sécurité c'est justement d'avoir un temps d'avance sur l'attaquant. C'est exactement ce qu'il se passe en cryptographie avec les calculs à trappes : on sait faire le calcul (enfin le deviner) pour casser la clé de cryptage mais techniquement avec la force de calcul qu'on possède cela prendrait des siècles.
    dam's

  15. #15
    Expert éminent sénior

    Inscrit en
    Juillet 2009
    Messages
    3 407
    Détails du profil
    Informations forums :
    Inscription : Juillet 2009
    Messages : 3 407
    Points : 149 059
    Points
    149 059
    Par défaut
    Citation Envoyé par brulain Voir le message
    Heureusement que quelques spéléologues passionnés et vertueux livrent gracieusement leurs découvertes aux éditeurs concernés
    Bah c'est de moins en moins vrai en fait.

    Charlie Miller, qui a gagné plusieurs fois le concours, n'indique pas les failles aux éditeurs. Ils leur dit juste "en gros" comment il les a trouvées et après à eux de se débrouiller.

    Il fait ça justement parce qu'il en a marre de voir que les progrès qu'ils font dans la sécurisation des applications sont très très lents.

  16. #16
    Membre confirmé Avatar de gmotw
    Profil pro
    Inscrit en
    Mars 2008
    Messages
    384
    Détails du profil
    Informations personnelles :
    Âge : 38
    Localisation : France

    Informations forums :
    Inscription : Mars 2008
    Messages : 384
    Points : 641
    Points
    641
    Par défaut
    Citation Envoyé par Gordon Fowler Voir le message
    Il fait ça justement parce qu'il en a marre de voir que les progrès qu'ils font dans la sécurisation des applis sont très très lents.
    C'est sûr que ça va aller vachement plus vite si les éditeurs savent qu'il y a une faille mais doivent la rechercher.
    THIS!IS!NOT!MY!COW!

    CECI!N'EST!PAS!MA!VACHE!
    (mais je persiste à dire que c'est moins classe en français )

  17. #17
    Invité
    Invité(e)
    Par défaut
    Citation Envoyé par gmotw Voir le message
    C'est sûr que ça va aller vachement plus vite si les éditeurs savent qu'il y a une faille mais doivent la rechercher.
    En fait Charlie Miller a déjà écrit un livre pour Mac Leopard et comment le sécuriser, puis il s'est plaint que Snow leopard n'ait pas les améliorations nécessaires ... A force de "parler dans le vide" sans être écouter, malgré les infos qu'il donne et qui permettent de comprendre comment il a craqué plein de logiciels, je comprends qu'il ne veuille pas aider davantage.
    Au fond les méthodes pour hacker qu'il utilise peuvent être "industrialisées" pour tester les logiciels par les éditeurs .
    Dernière modification par Mejdi20 ; 06/04/2010 à 09h46.

  18. #18
    Inscrit

    Profil pro
    Inscrit en
    Février 2008
    Messages
    658
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Février 2008
    Messages : 658
    Points : 892
    Points
    892
    Par défaut
    Chrome a été bel et bien attaqué mais il a resisté donc le titre de l'article ne correspond pas à la realité.

  19. #19
    Inscrit

    Profil pro
    Inscrit en
    Février 2008
    Messages
    658
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Février 2008
    Messages : 658
    Points : 892
    Points
    892
    Par défaut
    Citation Envoyé par dams78 Voir le message
    Bah non justement, le propre de la sécurité c'est justement d'avoir un temps d'avance sur l'attaquant. C'est exactement ce qu'il se passe en cryptographie avec les calculs à trappes : on sait faire le calcul (enfin le deviner) pour casser la clé de cryptage mais techniquement avec la force de calcul qu'on possède cela prendrait des siècles.

    Tout a fait d'accord ; en cryptographie le problème c'est pas de savoir l'algorithme mais le temps nécessaire qu'il te faudra pour décrypter avec le matériel qu'il faut [ Exemple : un ordinateur de quelle centaines de Giga de processeurs) sinon tout le monde sait que le nombre de caractères est bien finie ( limité) même si on tient compte de toutes les langues!

  20. #20
    Membre éclairé
    Profil pro
    Inscrit en
    Octobre 2002
    Messages
    707
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Octobre 2002
    Messages : 707
    Points : 777
    Points
    777
    Par défaut
    Mouais, Opera n'est pas représenté soit disant à cause des parts de marché... sauf que sur les mobiles il est très bien placé. J'ai l'impression que ces petits hackers n'ont pas eu le cran tout simplement

Discussions similaires

  1. Réponses: 9
    Dernier message: 28/06/2012, 17h53
  2. Réponses: 25
    Dernier message: 19/05/2010, 11h24
  3. efficacité des frameworks face aux attaques
    Par CaptainCyd dans le forum Frameworks Web
    Réponses: 4
    Dernier message: 21/01/2009, 23h00

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo