Discussion :

[Francis Walter]

Pwn2Own 2014 : Firefox, IE, Safari, Chrome ont tous été piratés,
les hackers ont remporté 850.000 dollars comme récompense

Comme d’habitude, les concours Pwn2Own et Pwnium ont encore réuni des hackers pour démanteler les mesures de sécurité mises en œuvre au niveau des logiciels et matériels informatiques. Pour cette édition, ce sont les navigateurs qui ont été les plus visés. Les plugins Flash et Reader d’Adobe sont aussi des victimes. Ils ont respectivement été organisés par HP et Google dans le cadre de la conférence CanSecWest qui s’est tenue à Vancouver au Canada.

Lors du concours, les principaux navigateurs web dont Firefox, Internet Explorer, Chrome et Safari ont été piratés par les concurrents. Parmi les participants, ceux qui ont le plus raflé de prix étaient des Français. Il s’agit de l’entreprise nommée VUPEN. Elle a réussi à pirater Firefox, Internet Explorer 11, Google Chrome ainsi qu’Adobe Reader et Adobe Flash. Leur prouesse leur a valu la somme de 400.000 dollars. VUPEN serait connue pour avoir fourni des failles de sécurité informatique à des gouvernements.

On remarquera aussi dans le lot des participants, la présence de George Hotz, un hacker connu de la communauté pour avoir conçu le jailbreak pour l’iPhone. Il a aussi été condamné par Sony pour avoir piraté la PlayStation 3. Dans le cadre de Pwnium, George Hotz a réussi à exécuter du code arbitraire dans Google Chrome sur un Chromebook HP. Il a aussi réussi à pirater Firefox. Il a eu droit à une prime de 150.000 dollars.

Au total, les concouristes ont remporté 850.000 dollars sur plus de 1 million de dollars mis en jeu. On peut penser que la somme mise en jeu est exorbitante mais pas pour les éditeurs de logiciels. « Il s'agit de permettre à votre logiciel d’être pris en charge par des indépendants qualifiés, qui peuvent repérer les défauts qui ont échappé au contrôle de qualité que vous faites », explique Brian Gorenc, directeur de la recherche de vulnérabilités pour ZDI. Il ajoute que le prix en argent en vaut bien la peine.

Le navigateur Firefox est celui ayant subi le plus de hacks, soit 4 fois successivement. Cependant, « tous les exploits étaient uniques en leur manière » a déclaré Brian Gorenc. On ne peut donc pas dire qu’un navigateur est moins sécurisé qu’un autre.

Par ailleurs, toutes les failles découvertes ont été signalées aux éditeurs concernés afin qu’ils prennent les mesures nécessaires pour mieux sécuriser leur logiciel.

Source : Pwn2Own

Et vous ?

Que pensez-vous de cette série de hacks ?

[Paul TOTH]

Et vous ?
Que pensez-vous de cette série de hack ?

je trouve ça très bien ce système de prime pour trouver des failles, tout le monde y trouve son compte, nous (les utilisateurs) y compris

après sur l'existence même des failles, je la comprend, je pense être un développeur très qualifié, mais il m'arrive encore régulièrement de corriger des bugs dans mes produits, certes pas des choses énormes (elles sont vues dès le départ), mais souvent assez vicieuses, basée sur une logique totalement contraire à la conception du produit.

par exemple, il n'y a pas très longtemps j'ai mis en place un système d'upload de fichier en HTTP par drag&drop. ça fonctionne très bien pour déposer un ZIP, même une grosse vidéo...et puis j'ai réalisé que je pouvais tout aussi bien déposer un .PHP et l'invoquer une fois sur le site ! Grosse faille tout bête parce que j'étais focalisé sur l'envoie de gros fichiers Une fois qu'on y pense, les parades sont très simple à mettre en oeuvre...mais encore faut-il avoir la présence d'esprit de sortir du cadre de son développement pour avoir une vision autre. J'ai d'ailleurs toujours dit que le développeur est le pire testeur pour un produit, ses tests sont conditionnés par sa connaissance du produit, alors qu'un vrai testeur aborde le logiciel sans idée préconçue sur son fonctionnement.

[Mr_Exal]

Et vous ?
Que pensez-vous de cette série de hack ?

Tout le monde est gagnant. Il vaut mieux ça plutôt que de ne rien faire et que ça soit les utilisateurs qui en fassent les frais.

PS: C'est pas VUPEN qui avait trouvé un zéro day dans je sais plus quelle version de Windows et qui menaçait de le rendre public si Microsoft ne payait pas ?

[white_mike]

Faudrait voir aussi dans quelle mesure ces failles nous impactent.

Merci pour l'info !

[TiranusKBX]

Ce genre de concours est bénéfique mais certains de ces acteurs peuvent être limite tel VUPEN
mais au moins comme ça les connaissances des vulnérabilités ne sont pas exploitées par les pirates et autres agences gouvernementales

[madislak]

L'inconvénient de ce genre d'opération très médiatisée, c'est que maintenant tous les hackers du monde savent quelles failles exploiter jusqu'à ce que les éditeurs sortent une nouvelle version