+ Répondre à la discussion Actualité déjà publiée
  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Webmaster
    Inscrit en
    janvier 2014
    Messages
    716
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Webmaster
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : janvier 2014
    Messages : 716
    Points : 15 942
    Points
    15 942

    Par défaut Les résultats de fuzzing d’un chercheur de Google mettent en évidence plus de failles dans Safari

    Les résultats de fuzzing d’un chercheur de Google mettent en évidence plus de failles dans Safari
    que dans les autres navigateurs réunis

    De manière générale, les moteurs DOM sont des composants qui font l’objet de corrections constantes par les développeurs de navigateurs. Lorsqu’un fournisseur de navigateur publie une mise à jour de sécurité, il est vraiment rare que cette mise à jour ne contienne pas de correctifs pour au moins plusieurs bogues dans le moteur DOM, rappelle Ivan Fratric, le chercheur en sécurité du projet Google Project Zero.

    Conscient que des failles non détectées au niveau du DOM peuvent être exploitées par des pirates pour pourrir la vie des utilisateurs, une des missions de Fratric après avoir rejoint Google Project Zero fut « de tester l’état actuel de la résilience des principaux navigateurs Web contre le fuzzing DOM ». Le fuzzing ou test à données aléatoires est une technique qui permet de traquer les failles de sécurité dans les logiciels en injectant des données aléatoires dans les entrées du programme testé.

    Bien que de nombreux fuzzers de DOM existent, Fratric a décidé d’écrire son propre test à données aléatoires. L’objectif n’était pas de créer un fuzzer révolutionnaire, mais plutôt « de créer un fuzzer qui a une couverture initiale décente, est facilement compréhensible et extensible et peut être réutilisé » par Fratric lui-même ainsi que d’autres chercheurs sur d’autres cibles en plus du DOM des navigateurs.

    Après avoir écrit son algorithme de tests, Fratric l’a nommé Domato. Il se compose de plusieurs parties. Un moteur de base capable de générer un échantillon en fonction d’une grammaire d’entrée. Selon le chercheur, « cette partie est intentionnellement assez générique et peut être appliquée à d’autres problèmes en plus du DOM ». Une autre partie de Domato est composée d’un script principal qui analyse les arguments et utilise le moteur de base pour créer des échantillons. « La plupart des logiques spécifiques aux DOM sont capturées dans cette partie », souligne le chercheur. Une dernière partie regroupe « un ensemble de grammaires pour la génération de code HTML, CSS et JavaScript ».

    Fratric précise en outre que les différents navigateurs n’ont pas été testés dans les mêmes conditions. Google Chrome a été testé sur le cluster de fuzzing de Google appelé ClusterFuzz. Firefox a été testé sur une infrastructure interne de Google basée sur Linux. Internet Explorer 11 a été testé avec Domato sur Google Compute Engine exécutant Windows Server 2012 R2 64 bits. Pour Microsoft Edge, la tâche s’est avérée un peu plus ardue. Google Compute Engine ne supportant pas à l’heure actuelle Windows 10, le chercheur et son équipe ont dû créer un cluster virtuel de machines virtuelles Windows 10 sur Microsoft Azure. C’est ce même procédé qui a permis de tester également Internet Explorer. Pour ce qui concerne Safari, vu que la réalisation de tests de fuzzing sur ce navigateur nécessitait de disposer d’une machine MacBook, le chercheur a testé WebKitGTK+ qui est compatible avec les infrastructures internes de Google qui sont basées sur Linux.

    Après avoir testé les différents moteurs de rendu des différents navigateurs cités ci-dessus, Fratric rapporte que Chrome a laissé apparaître deux bogues de sécurité. Firefox en dénombrait quatre. Internet Explorer en comptait quatre également. Sur Microsoft Edge, Fratric en a trouvé six. Cela est assez étonnant quand on sait que Microsoft pousse en avant Edge en avançant plusieurs arguments, dont celui de la sécurité. Et enfin pour le moteur de rendu de Safari, le chercheur a dénombré 17 failles de sécurité. En tout, 31 vulnérabilités liées à la sécurité ont été découvertes. Et en analysant de plus près ces résultats, nous constatons que Safari compte le plus de failles de sécurité (17 en tout) que tous les autres navigateurs combinés (16 failles en tout).

    Pour Fratric, « ceci est particulièrement préoccupant étant donné l’intérêt des attaquants pour la plateforme, comme en témoignent les prix d’exploit et les attaques ciblées récentes ». Il ajoute qu’il « est également intéressant de comparer les résultats de Safari à Chrome comme il y a quelques années, ils utilisaient le même moteur DOM (WebKit). Apparemment, après la scission de Blink/Webkit, soit le nombre de bogues dans Blink a considérablement réduit ou un nombre significatif de bogues ont été introduits dans le nouveau code WebKit (ou les deux) ».

    Enfin, le chercheur précise qu’il « est très important de noter qu’ils [ces résultats] ne reflètent pas nécessairement la sécurité de l’ensemble du navigateur et se concentrent plutôt sur un seul composant (moteur DOM), mais qui a toujours été une source de nombreux problèmes de sécurité. »

    Source : Google Project Zero

    Et vous ?

    Que vous inspirent les résultats de ces tests de fuzzing ?

    Pensez-vous qu’ils reflètent la réalité ?

    Ces résultats auront-ils une influence quelconque sur le choix des navigateurs auprès des utilisateurs ?

    Voir aussi

    Pwn2Own 2015 : les hackers en action, comment Firefox, Chrome, IE, Safari, Windows, Adobe Flash et Reader ont été piratés
    Safari vulnérable au spoofing d'adresses, la faille permet de lancer des attaques de phishing pour tromper l'utilisateur
    Chrome 51 : Google corrige quinze failles de sécurité, dont deux jugées critiques et a encore versé 26 000 $ à des chercheurs en sécurité
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre habitué
    Femme Profil pro
    Urbaniste
    Inscrit en
    juillet 2017
    Messages
    56
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : France, Calvados (Basse Normandie)

    Informations professionnelles :
    Activité : Urbaniste
    Secteur : Alimentation

    Informations forums :
    Inscription : juillet 2017
    Messages : 56
    Points : 189
    Points
    189

    Par défaut

    Que vous inspirent les résultats de ces tests de fuzzing ?
    Que ça vient de google, expert en tracking et pourrissage de vie par la pub et vol de données (m'a déjà volé ma liste de contacte sans me demander mon avis au préalable). Qu'Apple a décidé de se positionner sur le respect de la vie privé avec l'intégration, dans safari, d'un système anti-tracking plus évolué ce qui ne fera pas les affaire de google (entre autre) le temps de trouver une parade pour contourner ça.

    Pensez-vous qu’ils reflètent la réalité ?
    C'est comme demander si un chercheur qui bosse pour un fabricant de soda et qui vous explique que les boissons sucrée/light ne sont pas mauvaise pour santé est honnête alors que d'autres chercheurs indépendant démontrent le contraire ainsi que la potentielle nocivité de l'aspartam sur l'organisme.

    Ces résultats auront-ils une influence quelconque sur le choix des navigateurs auprès des utilisateurs ?
    Tout ce qui vient de google n'a plus aucune valeur à mes yeux, utiliser la peur pour manipuler est devenu son crédo.

    Bientôt une étude pour démontrer qu'utiliser un autre moteur de recherche que google est dangereux ?

  3. #3
    Nouveau Candidat au Club
    Homme Profil pro
    Développeur informatique
    Inscrit en
    juillet 2011
    Messages
    309
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : juillet 2011
    Messages : 309
    Points : 0
    Points
    0

    Par défaut

    Citation Envoyé par Old Geek Voir le message
    Que ça vient de google, expert en tracking et pourrissage de vie par la pub et vol de données (m'a déjà volé ma liste de contacte sans me demander mon avis au préalable). Qu'Apple a décidé de se positionner sur le respect de la vie privé avec l'intégration, dans safari, d'un système anti-tracking plus évolué ce qui ne fera pas les affaire de google (entre autre) le temps de trouver une parade pour contourner ça.


    C'est comme demander si un chercheur qui bosse pour un fabricant de soda et qui vous explique que les boissons sucrée/light ne sont pas mauvaise pour santé est honnête alors que d'autres chercheurs indépendant démontrent le contraire ainsi que la potentielle nocivité de l'aspartam sur l'organisme.


    Tout ce qui vient de google n'a plus aucune valeur à mes yeux, utiliser la peur pour manipuler est devenu son crédo.

    Bientôt une étude pour démontrer qu'utiliser un autre moteur de recherche que google est dangereux ?
    Tout à fait d'accord, d'autant que les tests sont assez bizarres, l'article ne cesse de parler de Safari, alors que c'est une version de webkit dédiée à Linux qui a été testée. Qui nous dit que dans Safari, le vrai, ces failles sont effectives, et qu'est-ce qu'elles ont comme conséquences sur celui-ci ? Pas non plus de détail du la gravité de ces failles.
    Une chose est sûre une dizaine de failles sur un moteur aussi sophistiqué et complexe (j'en connais pas le nombre de lignes de codes mais ça doit être gros) c'est finalement assez peu.

    Intéressant tout ça, mais vu la méthodologie et le nom de l'employeur, on attendra confirmation par d'autres sources.

  4. #4
    Membre régulier
    Profil pro
    Inscrit en
    janvier 2014
    Messages
    59
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : janvier 2014
    Messages : 59
    Points : 113
    Points
    113

    Par défaut

    " Fratric précise en outre que les différents navigateurs n’ont pas été testés dans les mêmes conditions. Google Chrome a été testé sur le cluster de fuzzing de Google appelé ClusterFuzz. Firefox a été testé sur une infrastructure interne de Google basée sur Linux. Internet Explorer 11 a été testé avec Domato sur Google Compute Engine exécutant Windows Server 2012 R2 64 bits. Pour Microsoft Edge, la tâche s’est avérée un peu plus ardue. Google Compute Engine ne supportant pas à l’heure actuelle Windows 10, le chercheur et son équipe ont dû créer un cluster virtuel de machines virtuelles Windows 10 sur Microsoft Azure. C’est ce même procédé qui a permis de tester également Internet Explorer. Pour ce qui concerne Safari, vu que la réalisation de tests de fuzzing sur ce navigateur nécessitait de disposer d’une machine MacBook, le chercheur a testé WebKitGTK+ qui est compatible avec les infrastructures internes de Google qui sont basées sur Linux. "

    - Google Chrome -> sur le cluster de fuzzing (c'est équivalent à du natif ?)
    - Firefox -> sur une infrastructure Google basée sur Linux
    - IE11 -> sur Google Compute Engine exécutant Windows Server 2012 R2 x64
    - Edge -> sur Azure en virtualisant Windows 10 (" C’est ce même procédé qui a permis de tester également Internet Explorer ")
    donc
    - IE11 -> sur Azure en virtualisant Google Compute Engine exécutant Windows Server 2012 R2 x64
    - Safari -> comme Firefox : sur une infrastructure Google basée sur Linux, mais avec WebKitGTK+

    j'ai la même remarque que toi "Le vendengeur masqué " : est-il pertinent de parler de sécurité (généralisé) du moteur DOM alors même que les tests ne sont pas en condition réel... ni dans les mêmes conditions. A moins que ce soit le code source qui soit étudier, et non le comportement d'une installation, mais ce n'est pas ce que j'ai lu.

    est-ce que tout ça est-il sérieux... ? =/

  5. #5
    Nouveau membre du Club
    Homme Profil pro
    Inscrit en
    octobre 2011
    Messages
    15
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations forums :
    Inscription : octobre 2011
    Messages : 15
    Points : 26
    Points
    26

    Par défaut

    Même remarque que les posts d'au dessus, les conditions initiales ne sont pas les mêmes pour chaque navigateur, et niveau neutralité on repassera...

  6. #6
    Membre émérite Avatar de air-dex
    Homme Profil pro
    Inscrit en
    août 2010
    Messages
    1 367
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 29
    Localisation : France

    Informations forums :
    Inscription : août 2010
    Messages : 1 367
    Points : 2 870
    Points
    2 870

    Par défaut

    Google teste des navigateurs. Ô surprise, Google Chrome est le meilleur et les pires navigateurs sont ceux de Microsoft et d'Apple.
    "Ils ne savaient pas que c'était impossible alors ils l'ont fait." Mark Twain

    Mon client Twitter Qt cross-platform Windows et Linux. (en cours de développement).

  7. #7
    Membre régulier
    Homme Profil pro
    Ingénieur systèmes et réseaux
    Inscrit en
    janvier 2011
    Messages
    51
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 64
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Ingénieur systèmes et réseaux
    Secteur : Conseil

    Informations forums :
    Inscription : janvier 2011
    Messages : 51
    Points : 94
    Points
    94

    Par défaut

    Charité bien ordonnée commence par soi-même.

    Bidon ces tests de Google.

Discussions similaires

  1. Réponses: 17
    Dernier message: 25/02/2015, 08h10
  2. [CppUnit / ECUT] Pb pour voir les résultat des tests
    Par noisy_man dans le forum Eclipse C & C++
    Réponses: 2
    Dernier message: 09/08/2011, 18h56
  3. Afficher les résultats de tests en HTML avec PHPUnit
    Par Yoteco dans le forum Codes sources et Outils
    Réponses: 0
    Dernier message: 15/02/2011, 19h42
  4. [CruiseControl] Comment avoir les résultats de test non-unitaires ?
    Par SimonTab dans le forum Intégration Continue
    Réponses: 0
    Dernier message: 26/06/2008, 10h30

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo