IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Membre chevronné

    Femme Profil pro
    Chef de projet NTIC
    Inscrit en
    février 2012
    Messages
    28
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : France

    Informations professionnelles :
    Activité : Chef de projet NTIC
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : février 2012
    Messages : 28
    Points : 2 104
    Points
    2 104
    Par défaut Pwnium: Chrome publie un correctif pour combler les vulnérabilités
    Concours Pwnium : Chrome tombe une deuxième fois
    Google paye 60.000 dollars et publie un correctif dans la foulée


    La conférence CanSecWest s’est déroulée les 7, 8 et 9 mars derniers à Vancouver. Elle attire à chaque édition de nombreux spécialistes de la sécurité informatique.



    Le concours Pwnium organisé au cours de la conférence, est l’un des moments forts de l’évènement puisqu’il permet de tester la fiabilité des systèmes d’exploitation et des navigateurs.

    Pwnium est un dérivé du concours Pw2nOwn sponsorisé par Google, qui n’était pas d’accord avec une règle de l’autre compétition autorisant les participants, s’ils le souhaitent, à ne pas divulguer les failles exploitées.

    Après avoir résisté quatre années, le navigateur de Google, Chrome, est tombé cette fois-ci dans chaque compétition. Le premier à avoir fait tomber Chrome est une société française, Vupen, dans le cadre de Pw2nOwn, qui n’a reçu aucun prix de la part de Google.


    Le second est un chercheur en informatique russe, Sergey Glazunov, qui a reçu une récompense de 60.000 dollars par Google. Ce jeune homme a eu recours à un bug qui lui a permis de contourner les restrictions de sécurité de Sandbox, le bac à sable de Chrome.

    Sundar Pichai, vice-président de la division « Produits » chez Google, a tenu à féliciter sur Google+ Sergey Glazunov.

    Suite à l’évènement, Google a sorti une mise à jour (17.0.963.78) pour combler la faille.

    Plus d'informations sur le correctif sur ce billet officiel


    Source : Google+

  2. #2
    Membre éclairé Avatar de messinese
    Homme Profil pro
    IT Security Consultant
    Inscrit en
    septembre 2007
    Messages
    429
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : IT Security Consultant
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : septembre 2007
    Messages : 429
    Points : 876
    Points
    876
    Par défaut
    Bravo a Vupen qui démontre ainsi qu'ils ne recherchent pas nécéssairement le fric, chose bien rare et aussi a google qui quand meme démontre une certaine réactivité .

  3. #3
    zo1odMSQr5Fy
    Invité(e)
    Par défaut
    Les français ont-ils avertis google de la faille sans pour autant la divulger ?

  4. #4
    Membre du Club
    Inscrit en
    mars 2004
    Messages
    21
    Détails du profil
    Informations personnelles :
    Âge : 42

    Informations forums :
    Inscription : mars 2004
    Messages : 21
    Points : 44
    Points
    44
    Par défaut
    Refuser de dévoiler la méthode utilisée est idiot et pédant.
    S'ils ne voulaient pas de l'argent, ils pouvaient tout aussi bien redistribuer la somme à une ONG. Bref, une belle bande de nerdz nombrilistes.

  5. #5
    Membre éclairé Avatar de messinese
    Homme Profil pro
    IT Security Consultant
    Inscrit en
    septembre 2007
    Messages
    429
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : IT Security Consultant
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : septembre 2007
    Messages : 429
    Points : 876
    Points
    876
    Par défaut
    Ceci est une simple question de point de vue mais je trouve intéréssant l'idée qu'il y ai encore des gens passionnés présent lors de ces events et qui sont pret a démontrer que des "gus dans un garage" peuvent encore poutrer des grosses multinationales.

    Mais ceci n'engage que moi ..

  6. #6
    Membre confirmé
    Profil pro
    Inscrit en
    octobre 2004
    Messages
    329
    Détails du profil
    Informations personnelles :
    Localisation : Canada

    Informations forums :
    Inscription : octobre 2004
    Messages : 329
    Points : 599
    Points
    599
    Par défaut
    Vupen avait un intérêt à choisir l'autre concours ? Est-ce que ne pas divulguer la faille signifie qu'ils peuvent la monnayer autrement ? Genre espionnage and co ?

  7. #7
    Membre éclairé Avatar de messinese
    Homme Profil pro
    IT Security Consultant
    Inscrit en
    septembre 2007
    Messages
    429
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : IT Security Consultant
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : septembre 2007
    Messages : 429
    Points : 876
    Points
    876
    Par défaut
    Cela peut éventuellement etre monnayé autrementen effet mais je doute que ça soit le but .

    Vupen est spécialisé dans le disclose de 0-days donc il y a fort a parier que cette vulnerabilitée sera dévoilée sur leur site internet via un bulletin voire meme revendu a google par la suite , mais ça seul leurs membres doivent le savoir..

    Une certitude en tout cas: une découverte de ce type ça se lache pas d'un coup sur un salon ou durant un CTF , ça se réfléchi et se négocie ne serait-ce que pour garder de la crédibilité et assurer ses arrieres ..

  8. #8
    Membre régulier
    Profil pro
    Inscrit en
    mars 2008
    Messages
    42
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mars 2008
    Messages : 42
    Points : 83
    Points
    83
    Par défaut
    Voici ce que j'ai trouvé concernant Vupen et cette faille :
    Citation Envoyé par Le journal du Net
    L'exploit ne fait pas cracher la machine, s'appuie sur deux vulnérabilités 0 day découvertes par Vupen, et fonctionne sur tous les systèmes Windows et la dernière version de Chrome (11.0.696.65). Le code et les détails techniques des vulnérabilités ne seront pas divulgués publiquement. Ils seront exclusivement partagés avec les clients de Vupen, notamment des gouvernements. Chaouki Bekar, le P-DG de Vupen a indiqué qu'il n'avait pas l'intention de partager les informations avec Google.
    En effet, le but de Vupen n'est pas de se faire de l'argent de poche, mais bien de toucher le pactole !

  9. #9
    Membre expérimenté
    Homme Profil pro
    Développeur informatique
    Inscrit en
    juillet 2007
    Messages
    805
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : juillet 2007
    Messages : 805
    Points : 1 659
    Points
    1 659
    Par défaut
    Surtout Vupen veut défendre une noble cause : aider les gouvernements à surveiller leurs citoyens... pour la défense du bien commun (aider Sarko et sa loi Hadopi, aider l'Iran dans sa lutte contre le porno et la Chine dans sa lutte pour l'union et la sécurité Nationnal...) il faudrait qu'ils s'ouvrent pour aider les pauvres africains à se nourrir en arnaquant les européens.
    Tout ce que j'écris est libre de droits (Licence CC0) et je vous incite à faire de même.

  10. #10
    Membre extrêmement actif

    Profil pro
    Grand Timonier des Chats
    Inscrit en
    décembre 2011
    Messages
    879
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : Grand Timonier des Chats

    Informations forums :
    Inscription : décembre 2011
    Messages : 879
    Points : 3 306
    Points
    3 306
    Par défaut
    Petite précision par rapport à ce qu'a annoncé Sarah Mendès: le concours Pwn2Own fait la différence entre deux types de failles, celles qui permettent d'executer un code dans le navigateur et celles qui permettent d'échapper à un sandbox (plus de précisions ici). Les deuxièmes sont beaucoup plus rares et donc plus chères.

    Le concours Pwn2Own n'est pas trop mal doté, mais les organisateurs estiment qu'ils n'ont pas de quoi acheter les zero-day sur les sandbox, donc ils ne demandent que soient revélées uniquement les failles dans le navigateur proprement dit, mais pas celles dans les sandbox. Google, avec des prix qui sont sensiblement les mêmes (mais plus de prix possibles, ce qui leur permet de dire qu'ils ont mis $1M en jeu--alors qu'ils ne paieront jamais $1M en pratique) exigent de tout savoir. Du coup, les professionels de Vupen ont dit en substance "si ça vous fait plaisir de vendre vos sandbox escape pour une bouchée de pain, allez à Pwnium, on ne vous fera pas concurence".

    Glazunov est un étudiant qui a contribué à Chromium: sans doute a t-il trouvé ses failles à ce moment, avant de les monnayer à Pwnium. Vupen est une entreprise qui vit de son travail, et qui a trouvé au total beaucoup plus de vulnérabilités. Ils n'ont donc pas les mêmes exigences de salaire pour leur travail.

    Quant à ceux qui reprochent à Vupen de mettre un prix trop elevé sur leurs failles: est-ce-que vous apprécierez qu'on vous propose de travailler pour moins que votre salaire actuel? Parce que c'est bien ce que Google leur propose.

    Cela dit, il ne serait pas étonnant que Google leur achete le sandbox escape en privé

  11. #11
    Membre régulier
    Profil pro
    Inscrit en
    novembre 2006
    Messages
    93
    Détails du profil
    Informations personnelles :
    Localisation : Côte d'Ivoire

    Informations forums :
    Inscription : novembre 2006
    Messages : 93
    Points : 99
    Points
    99
    Par défaut
    Citation Envoyé par abriotde Voir le message
    ...il faudrait qu'ils s'ouvrent pour aider les pauvres africains à se nourrir en arnaquant les européens.

    Les africains utilisent leur intelligence pour arnaquer les européens
    Les européens utilisent leur force (coups d'état) pour piller les africains

Discussions similaires

  1. Réponses: 6
    Dernier message: 18/12/2014, 11h10
  2. Réponses: 6
    Dernier message: 11/07/2013, 15h35
  3. Microsoft publie des extensions pour combler les lacunes de JavaScript
    Par Hinault Romaric dans le forum Général JavaScript
    Réponses: 5
    Dernier message: 25/11/2011, 14h58
  4. Réponses: 0
    Dernier message: 03/11/2010, 08h21
  5. Réponses: 0
    Dernier message: 11/11/2007, 08h03

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo