IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Pwn2Own 2013 : IE 10, Chrome 25, Firefox 19 et Java 7 tombent


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    6 189
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 6 189
    Points : 149 284
    Points
    149 284
    Par défaut Pwn2Own 2013 : IE 10, Chrome 25, Firefox 19 et Java 7 tombent
    Pwn2Own : IE 10, Chrome 25, Firefox 19 et Java 7 tombent
    Les hackers empochent 280 000 dollars

    Pwn2Own est un concours annuel où des hackers essaient de contourner la sécurité informatique sur des ordinateurs. Le premier qui réussit à hacker obtient une prime.

    L’évènement est organisé à Vancouver pendant la conférence CanSecWest sur la sécurité informatique. Les vulnérabilités trouvées sont divulguées par la suite en secret aux éditeurs des différents logiciels.

    Cette année, la compétition a lieu du 06 au 08 mars. Les challengers avaient le choix entre le Pwn2Own traditionnel (hacker des versions récentes de navigateurs, Java, Adobe Reader, Flash) et Pwnium organisé par Google. Pour cette dernière, il fallait hacker l’OS de Chrome et la cagnotte totale s’élève à environ 3,14 millions d’euros.

    VUPEN Security, une entreprise française dans la recherche de vulnérabilités, a mis au tapis IE 10 sur Windows 8 en utilisant un bypass sandbox (liaison directe de communication qui ne réserve pas de ressources d'un réseau publique de télécommunication). Elle empoche donc 100 000 dollars et l’ordinateur hébergeant le navigateur ciblé. L’équipe a réussi aussi à hacker Firefox 19 sur Windows 7 en employant la même technique, puis le plugin Java 7 sur IE 9 sous Windows 7.

    Chrome 25 va être hacké par Nils & Jon de MWR sur un poste Windows 7. Ils vont exploiter des vulnérabilités non corrigées sur le navigateur et l’OS pour le faire tomber. Les deux collègues vont empocher 100 000 dollars.

    ZDI (Zero-Day Initiative) de HP est le plus grand sponsor de cette huitième édition de Pwn2Own.


    Source : Blog HP


    Et vous ?

    Que pensez-vous de cette initiative ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Modérateur
    Avatar de Gugelhupf
    Homme Profil pro
    Analyste Programmeur
    Inscrit en
    décembre 2011
    Messages
    1 303
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Analyste Programmeur

    Informations forums :
    Inscription : décembre 2011
    Messages : 1 303
    Points : 3 608
    Points
    3 608
    Billets dans le blog
    12
    Par défaut
    Un bon moyen de gagner des sousous en toute légalité, en vivant de sa passion, dans une relation gagnant-gagnant.
    Je pense que ce type de challenge est un bon investissement pour Google et autres...
    J'aimerais beaucoup avoir le niveau des personnes qui trouvent les failles.
    N'hésitez pas à consulter la FAQ Java, lire les cours et tutoriels Java, et à poser vos questions sur les forums d'entraide Java

    Ma page Developpez | Mon profil Linkedin | Vous souhaitez me contacter ? Contacter Gokan EKINCI

  3. #3
    Membre éprouvé Avatar de leminipouce
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    janvier 2004
    Messages
    754
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 37
    Localisation : France, Haute Garonne (Midi Pyrénées)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : Agroalimentaire - Agriculture

    Informations forums :
    Inscription : janvier 2004
    Messages : 754
    Points : 1 276
    Points
    1 276
    Par défaut
    Citation Envoyé par Gugelhupf Voir le message
    Un bon moyen de gagner des sousous en toute légalité, en vivant de sa passion, dans une relation gagnant-gagnant.
    Je pense que ce type de challenge est un bon investissement pour Google et autres...
    J'aimerais beaucoup avoir le niveau des personnes qui trouvent les failles.
    Complètement d'accord, sur tous les points !
    Si , et la ont échoué mais pas nous, pensez à dire et cliquez sur . Merci !

    Ici, c'est un forum, pas une foire. Il y a de respectables règles... à respecter !

  4. #4
    Membre chevronné
    Avatar de la.lune
    Homme Profil pro
    Directeur Technique
    Inscrit en
    décembre 2010
    Messages
    544
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Comores

    Informations professionnelles :
    Activité : Directeur Technique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : décembre 2010
    Messages : 544
    Points : 2 070
    Points
    2 070
    Par défaut
    Citation Envoyé par Gugelhupf Voir le message
    J'aimerais beaucoup avoir le niveau des personnes qui trouvent les failles.
    Vraiment c'est un très bon objectif à se fixer, mais certes le métier de hacking n'est pas facile car déjà avant que ces systèmes soient exposés devant les hackers dans ce concours, c'est que les experts des géants de l'informatique pensaient avoir hautement sécurisés leur systèmes alors que.. . Ainsi les experts des géants ne sont pas doublés par des experts, mais je dirais ils sont doublés par des super experts. Alors bonne chance pour toi qui veut arriver là! Moi aussi j'aurais aimé

  5. #5
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    6 189
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 6 189
    Points : 149 284
    Points
    149 284
    Par défaut Après les hacks de Chrome 25 et Firefox 19 au Pwn2Own
    Après les hacks de Chrome 25 et Firefox 19 au Pwn2Own,
    Google et Mozilla s’empressent de publier des mises à jour de sécurité

    24 heures après le hack de Chrome 25 sous Windows 7 par Nils et Jon de la société MWR, les mises à jour de sécurité du navigateur sont disponibles.

    Dans le même laps de temps, Mozilla a aussi colmaté les failles de sécurité pour Firefox 19 révélées par VUPEN Security sous Windows 7.

    Dans un blog, le Directeur de la Sécurité de Mozilla, Michael Coates, déclare que l’équipe a reçu les détails techniques le mercredi soir, a diagnostiqué le problème et corrigé celui-ci.

    À titre de rappel, les deux vainqueurs ont utilisés un bypass sandbox (liaison directe de communication qui ne réserve pas de ressources d'un réseau public de télécommunication) en exploitant des vulnérabilités non corrigées des navigateurs.

    Ces correctifs de sécurité seront appliqués automatiquement, pour la plupart des utilisateurs, via le processus de mise à jour silencieux des deux navigateurs.

    Bien qu’IE 10 ait été piraté par VUPEN sur Windows 8 le même jour que Firefox, un correctif de sécurité ne serait pas disponible avant demain 12 mars.

    La suite de la compétition Pwn2Own 2013 a été encore riche en hacks. Plusieurs autres produits sont tombés. Java a été piraté par Ben Murphy via un proxy pour la somme de 20 000 $. Un jeune de 23 ans, George Hotz, plus connu pour son déverrouillage de l’iPhone et de la PlayStation 3 (actuellement poursuivi par Sony à cause de cet acte) est venu à bout du lecteur PDF Adobe Reader pour une somme de 70 000 dollars.

    La société VUPEN, quant à elle, a réalisé un quadruplé en déjouant la sécurité du plugin Flash pour 70 000 $ en plus de IE 10, Firefox et Java.

    Télécharger Firefox 19.0.2

    Télécharger Chrome 25

    Source : Blog Mozilla , Bulletin de sécurité Microsoft
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  6. #6
    Nouveau membre du Club
    Homme Profil pro
    Développeur .NET
    Inscrit en
    avril 2007
    Messages
    23
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Meurthe et Moselle (Lorraine)

    Informations professionnelles :
    Activité : Développeur .NET

    Informations forums :
    Inscription : avril 2007
    Messages : 23
    Points : 28
    Points
    28
    Par défaut hacker un brower ca consiste en quoi ?
    bonjour,

    ma question est peut etre bete mais je ne conprends pas en quoi consiste la hakage d 'un brower qui se trouve sur un poste client ?

    haker un os ou un parfeu pour s introduire sur un poste distant la oui je comprends mais un brower ?

    pouver vous m expilquer

    merci

  7. #7
    Membre confirmé
    Avatar de Jcpan
    Inscrit en
    août 2008
    Messages
    542
    Détails du profil
    Informations forums :
    Inscription : août 2008
    Messages : 542
    Points : 473
    Points
    473
    Par défaut
    Citation Envoyé par garnier54 Voir le message
    bonjour,

    ma question est peut etre bete mais je ne conprends pas en quoi consiste la hakage d 'un brower qui se trouve sur un poste client ?

    haker un os ou un parfeu pour s introduire sur un poste distant la oui je comprends mais un brower ?

    pouver vous m expilquer

    merci
    C'est à travers le piratage du navigateur, qu’ild arrivent à exécuter des commande système et s’approprier l'ordinateur client.
    ça se résume à :
    Ouverture d'une page, suite à ceci piratage et commande à distance de ton ordinateur.

  8. #8
    lvr
    lvr est déconnecté
    Membre extrêmement actif Avatar de lvr
    Profil pro
    Responsable de projet fonctionnel
    Inscrit en
    avril 2006
    Messages
    877
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations professionnelles :
    Activité : Responsable de projet fonctionnel
    Secteur : Arts - Culture

    Informations forums :
    Inscription : avril 2006
    Messages : 877
    Points : 1 222
    Points
    1 222
    Par défaut
    Citation Envoyé par Jcpan Voir le message
    C'est à travers le piratage du navigateur, qu’ild arrivent à exécuter des commande système et s’approprier l'ordinateur client.
    ça se résume à :
    Ouverture d'une page, suite à ceci piratage et commande à distance de ton ordinateur.
    Je continue dans les questions un peu "bêtes" :
    Comment parviennent-ils à exploiter ces failles ? Il faut qu'un code s'exécute sur le navigateur ? Du javascript pour une page normale, du java via les plugin java, du flash via les plugin flash, .... ?

  9. #9
    Membre confirmé
    Avatar de Jcpan
    Inscrit en
    août 2008
    Messages
    542
    Détails du profil
    Informations forums :
    Inscription : août 2008
    Messages : 542
    Points : 473
    Points
    473
    Par défaut
    Citation Envoyé par lvr Voir le message
    Je continue dans les questions un peu "bêtes" :
    Comment parviennent-ils à exploiter ces failles ? Il faut qu'un code s'exécute sur le navigateur ? Du javascript pour une page normale, du java via les plugin java, du flash via les plugin flash, .... ?
    Aucune question n'est bête à partir du moment où quelqu'un la pose.
    Oui exactement généralement c'est des failles sur des applet ou des fichiers PDF.

  10. #10
    Modérateur
    Avatar de gangsoleil
    Homme Profil pro
    Manager / Cyber Sécurité
    Inscrit en
    mai 2004
    Messages
    9 945
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Haute Savoie (Rhône Alpes)

    Informations professionnelles :
    Activité : Manager / Cyber Sécurité

    Informations forums :
    Inscription : mai 2004
    Messages : 9 945
    Points : 27 238
    Points
    27 238
    Par défaut
    Citation Envoyé par lvr Voir le message
    Comment parviennent-ils à exploiter ces failles ? Il faut qu'un code s'exécute sur le navigateur ? Du javascript pour une page normale, du java via les plugin java, du flash via les plugin flash, .... ?
    Citation Envoyé par Jcpan Voir le message
    généralement c'est des failles sur des applet ou des fichiers PDF.
    Le plus facile est de trouver, dans le navigateur, un mecanisme qui execute du code. Theoriquement, cela se fait dans un environnement protege, mais parfois, en faisant par exemple de l'injection de code, on peut sortir de l'environnement protege.
    On peut donc imaginer executer le code que l'on veut en dehors de cet environnement. Si ce code ouvre une connexion bi-directionnelle vers l'exterieure, tu as gagne l'acces a la machine.
    "La route est longue, mais le chemin est libre" -- https://framasoft.org/
    Les règles du forum

Discussions similaires

  1. Réponses: 0
    Dernier message: 30/11/2011, 00h08
  2. Dropdownlist inaccessibles sous Chrome ou Firefox
    Par Arno_94 dans le forum ASP.NET
    Réponses: 1
    Dernier message: 15/06/2010, 14h11
  3. Actualisation page avec mode chrome de firefox
    Par caro0000 dans le forum Général JavaScript
    Réponses: 0
    Dernier message: 18/12/2009, 15h46
  4. Réponses: 30
    Dernier message: 23/07/2009, 15h27
  5. Réponses: 22
    Dernier message: 06/07/2009, 09h04

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo