Discussion :

[Sarah Mendès]

Concours Pwnium : Chrome tombe une deuxième fois
Google paye 60.000 dollars et publie un correctif dans la foulée


La conférence CanSecWest s’est déroulée les 7, 8 et 9 mars derniers à Vancouver. Elle attire à chaque édition de nombreux spécialistes de la sécurité informatique.



Le concours Pwnium organisé au cours de la conférence, est l’un des moments forts de l’évènement puisqu’il permet de tester la fiabilité des systèmes d’exploitation et des navigateurs.

Pwnium est un dérivé du concours Pw2nOwn sponsorisé par Google, qui n’était pas d’accord avec une règle de l’autre compétition autorisant les participants, s’ils le souhaitent, à ne pas divulguer les failles exploitées.

Après avoir résisté quatre années, le navigateur de Google, Chrome, est tombé cette fois-ci dans chaque compétition. Le premier à avoir fait tomber Chrome est une société française, Vupen, dans le cadre de Pw2nOwn, qui n’a reçu aucun prix de la part de Google.


Le second est un chercheur en informatique russe, Sergey Glazunov, qui a reçu une récompense de 60.000 dollars par Google. Ce jeune homme a eu recours à un bug qui lui a permis de contourner les restrictions de sécurité de Sandbox, le bac à sable de Chrome.

Sundar Pichai, vice-président de la division « Produits » chez Google, a tenu à féliciter sur Google+ Sergey Glazunov.

Suite à l’évènement, Google a sorti une mise à jour (17.0.963.78) pour combler la faille.

Plus d'informations sur le correctif sur ce billet officiel


Source : Google+

[messinese]

Bravo a Vupen qui démontre ainsi qu'ils ne recherchent pas nécéssairement le fric, chose bien rare et aussi a google qui quand meme démontre une certaine réactivité .

[zo1odMSQr5Fy]

Les français ont-ils avertis google de la faille sans pour autant la divulger ?

[kershin]

Refuser de dévoiler la méthode utilisée est idiot et pédant.
S'ils ne voulaient pas de l'argent, ils pouvaient tout aussi bien redistribuer la somme à une ONG. Bref, une belle bande de nerdz nombrilistes.

[messinese]

Ceci est une simple question de point de vue mais je trouve intéréssant l'idée qu'il y ai encore des gens passionnés présent lors de ces events et qui sont pret a démontrer que des "gus dans un garage" peuvent encore poutrer des grosses multinationales.

Mais ceci n'engage que moi ..

[Joker-eph]

Vupen avait un intérêt à choisir l'autre concours ? Est-ce que ne pas divulguer la faille signifie qu'ils peuvent la monnayer autrement ? Genre espionnage and co ?

[messinese]

Cela peut éventuellement etre monnayé autrementen effet mais je doute que ça soit le but .

Vupen est spécialisé dans le disclose de 0-days donc il y a fort a parier que cette vulnerabilitée sera dévoilée sur leur site internet via un bulletin voire meme revendu a google par la suite , mais ça seul leurs membres doivent le savoir..

Une certitude en tout cas: une découverte de ce type ça se lache pas d'un coup sur un salon ou durant un CTF , ça se réfléchi et se négocie ne serait-ce que pour garder de la crédibilité et assurer ses arrieres ..

[Droup]

Voici ce que j'ai trouvé concernant Vupen et cette faille :

L'exploit ne fait pas cracher la machine, s'appuie sur deux vulnérabilités 0 day découvertes par Vupen, et fonctionne sur tous les systèmes Windows et la dernière version de Chrome (11.0.696.65). Le code et les détails techniques des vulnérabilités ne seront pas divulgués publiquement. Ils seront exclusivement partagés avec les clients de Vupen, notamment des gouvernements. Chaouki Bekar, le P-DG de Vupen a indiqué qu'il n'avait pas l'intention de partager les informations avec Google.

En effet, le but de Vupen n'est pas de se faire de l'argent de poche, mais bien de toucher le pactole !

[abriotde]

Surtout Vupen veut défendre une noble cause : aider les gouvernements à surveiller leurs citoyens... pour la défense du bien commun (aider Sarko et sa loi Hadopi, aider l'Iran dans sa lutte contre le porno et la Chine dans sa lutte pour l'union et la sécurité Nationnal...) il faudrait qu'ils s'ouvrent pour aider les pauvres africains à se nourrir en arnaquant les européens.

[MiaowZedong]

Petite précision par rapport à ce qu'a annoncé Sarah Mendès: le concours Pwn2Own fait la différence entre deux types de failles, celles qui permettent d'executer un code dans le navigateur et celles qui permettent d'échapper à un sandbox (plus de précisions ici). Les deuxièmes sont beaucoup plus rares et donc plus chères.

Le concours Pwn2Own n'est pas trop mal doté, mais les organisateurs estiment qu'ils n'ont pas de quoi acheter les zero-day sur les sandbox, donc ils ne demandent que soient revélées uniquement les failles dans le navigateur proprement dit, mais pas celles dans les sandbox. Google, avec des prix qui sont sensiblement les mêmes (mais plus de prix possibles, ce qui leur permet de dire qu'ils ont mis $1M en jeu--alors qu'ils ne paieront jamais $1M en pratique) exigent de tout savoir. Du coup, les professionels de Vupen ont dit en substance "si ça vous fait plaisir de vendre vos sandbox escape pour une bouchée de pain, allez à Pwnium, on ne vous fera pas concurence".

Glazunov est un étudiant qui a contribué à Chromium: sans doute a t-il trouvé ses failles à ce moment, avant de les monnayer à Pwnium. Vupen est une entreprise qui vit de son travail, et qui a trouvé au total beaucoup plus de vulnérabilités. Ils n'ont donc pas les mêmes exigences de salaire pour leur travail.

Quant à ceux qui reprochent à Vupen de mettre un prix trop elevé sur leurs failles: est-ce-que vous apprécierez qu'on vous propose de travailler pour moins que votre salaire actuel? Parce que c'est bien ce que Google leur propose.

Cela dit, il ne serait pas étonnant que Google leur achete le sandbox escape en privé

[samloba]

...il faudrait qu'ils s'ouvrent pour aider les pauvres africains à se nourrir en arnaquant les européens.

Les africains utilisent leur intelligence pour arnaquer les européens
Les européens utilisent leur force (coups d'état) pour piller les africains