IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Pwn2Own 2012 : Chrome tombe le premier jour


Sujet :

Sécurité

  1. #1
    Responsable .NET

    Avatar de Hinault Romaric
    Homme Profil pro
    Consultant
    Inscrit en
    Janvier 2007
    Messages
    4 570
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Janvier 2007
    Messages : 4 570
    Points : 252 372
    Points
    252 372
    Billets dans le blog
    121
    Par défaut Pwn2Own 2012 : Chrome tombe le premier jour
    Pwn2Own 2012 : Chrome tombe le premier jour
    le navigateur hacké par les experts en sécurité français de Vupen


    La sécurité du navigateur Chrome a cédé en seulement quelques minutes face aux hackers lors de la première journée du concours de hacking Pwn2Own.

    Pwn2Own est une compétition annuelle pendant le sommet sur la sécurité informatique CanSecWest. Elle permet aux meilleurs experts en sécurité de se retrouver pour déceler et exploiter les failles de sécurité des systèmes et des applications.

    Le navigateur de Google qui n’avait pas pu être hacké jusqu’ici de par son dispositif de sécurité reposant sur le Sandbox (bac à sable), est tombé devant les chercheurs en sécurité de la firme française Vupen.

    L’équipe conduite par Chaouki Bekrar, cofondateur de Vupen, a utilisé une vulnérabilité permettant la distribution aléatoire de l'espace d'adressage pour contourner les protections DEP et ASLR de Windows et une autre faille dans le Sandbox de Chrome pour prendre le contrôle d’une machine 64 bit Windows 7 SP1.

    Les chercheurs de Vupen se sont présentés cette année avec quatre attaques pour Chrome, Safari, Internet Explorer et Firefox. Ils auraient cependant choisi de commencer par le plus difficile. « Nous avons vu beaucoup de messages disant que personne ne pouvait pirater Chrome, nous voulions nous assurer qu’il soit le premier à tomber cette année » a déclaré Bekrar.

    Pour mémoire, lors de l’édition précédente de Pwn2Own, les chercheurs de VUPEN ont fait tomber la sécurité du navigateur Safari en seulement quelques minutes, remportant ainsi la récompense de 15 000 dollars.

    Source : CanSecWest

    Et vous ?

    Qu’en pensez-vous ?
    Vous souhaitez participer aux rubriques .NET ? Contactez-moi

    Si déboguer est l’art de corriger les bugs, alors programmer est l’art d’en faire
    Mon blog, Mes articles, Me suivre sur Twitter
    En posant correctement votre problème, on trouve la moitié de la solution

  2. #2
    Membre du Club
    Homme Profil pro
    Développeur Web
    Inscrit en
    Janvier 2011
    Messages
    7
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Janvier 2011
    Messages : 7
    Points : 46
    Points
    46
    Par défaut
    Au moins ça prouve que Chrome n'est pas invulnérable malgré son dispositif de sécurité sandbox, et ça forcera les développeurs à mieux protéger leur navigateur
    En tout cas gloire à la firme française Vupen

  3. #3
    Membre expert Avatar de air-dex
    Homme Profil pro
    Inscrit en
    Août 2010
    Messages
    1 653
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : France

    Informations forums :
    Inscription : Août 2010
    Messages : 1 653
    Points : 3 773
    Points
    3 773
    Par défaut
    Ah le fameux navigateur qui a soi-disant résisté à tous les Pwn2Own et qui tombe à sa 1ère participation.

    Il ne reste que Konqueror (et Opera ?) qui ai(en)t résisté à TOUS les Pwn2Own.
    "Ils ne savaient pas que c'était impossible alors ils l'ont fait." Mark Twain

    Mon client Twitter Qt cross-platform Windows et Linux. (en cours de développement).

  4. #4
    Modérateur

    Avatar de kOrt3x
    Homme Profil pro
    Technicien Informatique/Webmaster
    Inscrit en
    Septembre 2006
    Messages
    3 650
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 40
    Localisation : France, Nord (Nord Pas de Calais)

    Informations professionnelles :
    Activité : Technicien Informatique/Webmaster
    Secteur : Santé

    Informations forums :
    Inscription : Septembre 2006
    Messages : 3 650
    Points : 15 771
    Points
    15 771
    Par défaut
    Rien de tel qu'un bon Firefox. Qu'en pensez-vous ?
    La rubrique Mac
    Les cours & tutoriels Mac
    Critiques de Livres Mac & iOS
    FAQ Mac & iOS

    ________________________________________________________________________
    QuickEvent : Prise de rendez-vous rapide pour iPhone/iPad et iPod Touch (AppStore)
    Mon Livre sur AppleScript : AppleScript: L'essentiel du langage et de ses applications

  5. #5
    Membre régulier
    Profil pro
    Inscrit en
    Juillet 2010
    Messages
    41
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juillet 2010
    Messages : 41
    Points : 79
    Points
    79
    Par défaut
    Rien de tel qu'un bon Firefox. Qu'en pensez-vous ?
    Ou pas.

    Les atouts de Chrome sont nombreux et ne se situent pas seulement au niveau de sa sécurité. De plus Firefox a déjà flanché lors d'un Pwn2own, et il tombera à nouveau...

  6. #6
    Membre averti
    Profil pro
    Inscrit en
    Février 2006
    Messages
    235
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : Février 2006
    Messages : 235
    Points : 314
    Points
    314
    Par défaut
    Citation Envoyé par kOrt3x Voir le message
    Rien de tel qu'un bon Firefox. Qu'en pensez-vous ?
    Rien de tel qu'un bon troll

  7. #7
    Membre éclairé
    Inscrit en
    Mai 2010
    Messages
    297
    Détails du profil
    Informations forums :
    Inscription : Mai 2010
    Messages : 297
    Points : 878
    Points
    878
    Par défaut
    Citation Envoyé par Shemsu-Hor Voir le message
    Ou pas.

    Les atouts de Chrome sont nombreux et ne se situent pas seulement au niveau de sa sécurité. De plus Firefox a déjà flanché lors d'un Pwn2own, et il tombera à nouveau...
    Les atouts de Firefox sont nombreux et ne se situent pas seulement au niveau des extensions. De plus Chrome a déja flanché lors d'un Pwn2own,, et il tombera à nouveau.


    Bref on peut utiliser cette phrase pour quasi tous les navigateurs.
    "«Les petites filles sont des punks»."

  8. #8
    Membre confirmé

    Profil pro
    Développeur .NET
    Inscrit en
    Août 2004
    Messages
    178
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : Développeur .NET

    Informations forums :
    Inscription : Août 2004
    Messages : 178
    Points : 645
    Points
    645
    Par défaut
    Que sait-on sur Opera et sa sécurité ? Est-il déjà tombé ?

  9. #9
    Membre émérite
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Décembre 2008
    Messages
    832
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Décembre 2008
    Messages : 832
    Points : 2 625
    Points
    2 625
    Par défaut
    En même temps, tant que les navigateurs feront le café, ils auront des failles.
    Plus il y a de fonctionnalités, plus la base de code augmente (enfin, la plupart du temps). Et plus la base de code augmente, plus il y a de failles, c'est logique.

    Les navigateurs ont une telle quantité de fonctionnalités qu'il paraît évident qu'ils peuvent tous tomber:
    _ rendu html standard
    _ support de html non standard
    _ javascript
    _ cookies
    _ onglets
    _ plugin
    _ historique
    _ cache
    _ auto complétion
    _ intégration de(s) moteur(s) de recherche
    _ affichage d'image
    _ annulation d'action
    _ recherche de texte
    _ favoris

    Liste non exhaustive mais qui indique bien pourquoi les navigateurs tombent et tomberont tous.
    Le seul qui pourra peut-être éviter de tomber quand il sera fini ce sera peut-être uzbl mais... je doute qu'il soit populaire un jour, y compris auprès des geek, puisque ses seules fonctionnalités natives, c'est d'afficher une page et le support du langage python pour être étendu ^^
    (bon, celui-ci permet d'ajouter d'autres fonctionnalités indispensables, comme les onglets)

    Quoique, à bien y réfléchir, même les outils simples peuvent contenir des failles/bugs... un buffer overflow est si vite arrivé.

    Bref, que chrome tombe n'est ni surprenant, ni anormal.
    J'ai beau ne pas l'utiliser, je suis quand même capable de lire qu'ils voulaient qu'il tombe en 1er. Pour faire cesser l'enflage de chevilles sans doute.

  10. #10
    Membre éclairé
    Inscrit en
    Mai 2010
    Messages
    297
    Détails du profil
    Informations forums :
    Inscription : Mai 2010
    Messages : 297
    Points : 878
    Points
    878
    Par défaut
    Citation Envoyé par Reward Voir le message
    Que sait-on sur Opera et sa sécurité ? Est-il déjà tombé ?
    il n'est pas pris en compte car trop confidentiel comme navigateur (enfin je sais pas si cela a changé mais les premiers concours ne l'incluaient pas pour cela, d'ailleurs Chrome au départ n'était mis que pour faire plaisir à google)
    "«Les petites filles sont des punks»."

  11. #11
    Membre régulier
    Profil pro
    Inscrit en
    Juillet 2010
    Messages
    41
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juillet 2010
    Messages : 41
    Points : 79
    Points
    79
    Par défaut
    Les atouts de Firefox sont nombreux et ne se situent pas seulement au niveau des extensions. De plus Chrome a déja flanché lors d'un Pwn2own,, et il tombera à nouveau.

    Bref on peut utiliser cette phrase pour quasi tous les navigateurs.
    On est donc d'accord pour dire que phrase type : Rien de tel que, n'a pas sa place ici.

  12. #12
    Membre à l'essai
    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    Septembre 2010
    Messages
    24
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Haute Garonne (Midi Pyrénées)

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux
    Secteur : Industrie

    Informations forums :
    Inscription : Septembre 2010
    Messages : 24
    Points : 12
    Points
    12
    Par défaut
    Citation Envoyé par CAML Voir le message
    Rien de tel qu'un bon troll
    Hé mec ! On est sur un forum informatique le genre de réponse non fondée et agressive généralement ca passe pas entre "informaticien"...et garde tes expressions de "gamer" pour les fofo blizzard and co s'il te plait...
    Mon avis:
    J'utilise les deux navigateurs chrome pour regarder les épisodes en streaming et firefox pour travailler ^^ et je pense que ça résume bien ...
    L'un est rapide mais trop basique (les plugins développés ne sont pas assez étudiés encore..).
    L'autre complet, pratique, mais son défaut majeur et invivable serait sa consommation excessive de mémoire.
    Mais l'objet du post était de parler de sécurité... donc oui question sécurité Firefox a fait des efforts et ca se voit sur les Pwn2Own 2012...
    Je trouve que la firme (google) depuis son succès récent prend un peu la grosse tête...
    Je souligne ici la remarque pas très glorieuse de Google qui contestait l'exploit de l’équipe de hacker en se basant sur le fait que la version de chrome n’était pas la dernière ... :
    Google avait jugée celle-ci invalide en affirmant que les experts avaient exploité une faille du plugin Flash Player...
    Plus généralement je trouve ces rassemblement extrêmement gratifiant pour les entreprises... le fait de trouver une faille n'est pas qu'un échec de l'entreprise mais surtout une façon de renforcer son logiciel face aux intrusions... on devrait plus insister sur l'exploit des hackers (qui eux sont en compétition) que de la faille du navigateur ^^
    Mais ce n'est que mon avis ...

    Au passage : merci a Hinault Romaric pour son article détaillé

  13. #13
    Membre confirmé

    Profil pro
    Développeur .NET
    Inscrit en
    Août 2004
    Messages
    178
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : Développeur .NET

    Informations forums :
    Inscription : Août 2004
    Messages : 178
    Points : 645
    Points
    645
    Par défaut
    Citation Envoyé par David_g Voir le message
    il n'est pas pris en compte car trop confidentiel comme navigateur (enfin je sais pas si cela a changé mais les premiers concours ne l'incluaient pas pour cela, d'ailleurs Chrome au départ n'était mis que pour faire plaisir à google)
    Qu'entends-tu par "trop confidentiel" ?

  14. #14
    Membre éclairé
    Inscrit en
    Mai 2010
    Messages
    297
    Détails du profil
    Informations forums :
    Inscription : Mai 2010
    Messages : 297
    Points : 878
    Points
    878
    Par défaut
    Part de marché infime en desktop.
    De mémoire y'a quelque chose comme 2% en gros des utilisateurs qui utilisent opera.
    "«Les petites filles sont des punks»."

  15. #15
    Membre du Club
    Inscrit en
    Mars 2004
    Messages
    21
    Détails du profil
    Informations personnelles :
    Âge : 45

    Informations forums :
    Inscription : Mars 2004
    Messages : 21
    Points : 47
    Points
    47
    Par défaut
    @maskk

    Question agressivité, tu ne fais pas mal non plus. Et, je suis désolé, mais il s'agit bien d'un troll, expression de gamer ou pas, rien n'est plus indiqué pour désigner ce genre de propos, surtout lorsqu'on sait que Vupen a aussi craqué IE9, FF et Safari. Cela revient à écrire "Rien de tel qu'un mac, qu'en pensez-vous ?" lorsqu'on découvre une faille dans une appli linux.

    Ceci dit, bravo à Vupen, ils vont grandement contribuer à l'amélioration de la sécurisation de Chrome et consorts.

  16. #16
    Expert éminent sénior

    Homme Profil pro
    Développeur Web
    Inscrit en
    Septembre 2010
    Messages
    5 380
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Puy de Dôme (Auvergne)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Septembre 2010
    Messages : 5 380
    Points : 10 410
    Points
    10 410
    Par défaut
    Citation Envoyé par kershin Voir le message
    Ceci dit, bravo à Vupen, ils vont grandement contribuer à l'amélioration de la sécurisation de Chrome et consorts.
    Ce message là ne semble pas aussi catégorique sur ce point...

Discussions similaires

  1. Pwn2Own 2012 : Internet Explorer 9 tombe à son tour
    Par Hinault Romaric dans le forum Sécurité
    Réponses: 1
    Dernier message: 12/03/2012, 13h03
  2. Mettre lundi comme premier jour de la semaine?
    Par catoucat dans le forum Access
    Réponses: 2
    Dernier message: 14/06/2006, 08h05
  3. premier jour du mois
    Par ALLB dans le forum PostgreSQL
    Réponses: 2
    Dernier message: 28/04/2006, 22h33
  4. Récupérez premier jour de la semaine
    Par Krapulax dans le forum Requêtes
    Réponses: 1
    Dernier message: 07/10/2003, 18h18

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo