Soutenez-nous

Concours Pwnium : Chrome tombe une deuxième fois
Google paye 60.000 dollars et publie un correctif dans la foulée

Les rubriques (actu, forums, tutos) de Développez
Réseaux sociaux


 Discussion forum

Sur le même sujet
Le , par Sarah Mendès, Membre Expert
La conférence CanSecWest s’est déroulée les 7, 8 et 9 mars derniers à Vancouver. Elle attire à chaque édition de nombreux spécialistes de la sécurité informatique.



Le concours Pwnium organisé au cours de la conférence, est l’un des moments forts de l’évènement puisqu’il permet de tester la fiabilité des systèmes d’exploitation et des navigateurs.

Pwnium est un dérivé du concours Pw2nOwn sponsorisé par Google, qui n’était pas d’accord avec une règle de l’autre compétition autorisant les participants, s’ils le souhaitent, à ne pas divulguer les failles exploitées.

Après avoir résisté quatre années, le navigateur de Google, Chrome, est tombé cette fois-ci dans chaque compétition. Le premier à avoir fait tomber Chrome est une société française, Vupen, dans le cadre de Pw2nOwn, qui n’a reçu aucun prix de la part de Google.

Le second est un chercheur en informatique russe, Sergey Glazunov, qui a reçu une récompense de 60.000 dollars par Google. Ce jeune homme a eu recours à un bug qui lui a permis de contourner les restrictions de sécurité de Sandbox, le bac à sable de Chrome.

Sundar Pichai, vice-président de la division « Produits » chez Google, a tenu à féliciter sur Google+ Sergey Glazunov.

Suite à l’évènement, Google a sorti une mise à jour (17.0.963.78) pour combler la faille.

Plus d'informations sur le correctif sur ce billet officiel

Source : Google+


 Poster une réponse

Avatar de messinese messinese
Membre émérite
le 12/03/2012 13:53
Bravo a Vupen qui démontre ainsi qu'ils ne recherchent pas nécéssairement le fric, chose bien rare et aussi a google qui quand meme démontre une certaine réactivité .
Avatar de kershin kershin
Nouveau Membre du Club
le 12/03/2012 14:03
Refuser de dévoiler la méthode utilisée est idiot et pédant.
S'ils ne voulaient pas de l'argent, ils pouvaient tout aussi bien redistribuer la somme à une ONG. Bref, une belle bande de nerdz nombrilistes.
Avatar de messinese messinese
Membre émérite
le 12/03/2012 14:12
Ceci est une simple question de point de vue mais je trouve intéréssant l'idée qu'il y ai encore des gens passionnés présent lors de ces events et qui sont pret a démontrer que des "gus dans un garage" peuvent encore poutrer des grosses multinationales.

Mais ceci n'engage que moi ..
Avatar de Joker-eph Joker-eph
Membre expérimenté
le 12/03/2012 14:38
Vupen avait un intérêt à choisir l'autre concours ? Est-ce que ne pas divulguer la faille signifie qu'ils peuvent la monnayer autrement ? Genre espionnage and co ?
Avatar de messinese messinese
Membre émérite
le 12/03/2012 14:46
Cela peut éventuellement etre monnayé autrementen effet mais je doute que ça soit le but .

Vupen est spécialisé dans le disclose de 0-days donc il y a fort a parier que cette vulnerabilitée sera dévoilée sur leur site internet via un bulletin voire meme revendu a google par la suite , mais ça seul leurs membres doivent le savoir..

Une certitude en tout cas: une découverte de ce type ça se lache pas d'un coup sur un salon ou durant un CTF , ça se réfléchi et se négocie ne serait-ce que pour garder de la crédibilité et assurer ses arrieres ..
Avatar de Droup Droup
Membre du Club
le 12/03/2012 21:29
Voici ce que j'ai trouvé concernant Vupen et cette faille :
Citation Envoyé par Le journal du Net
L'exploit ne fait pas cracher la machine, s'appuie sur deux vulnérabilités 0 day découvertes par Vupen, et fonctionne sur tous les systèmes Windows et la dernière version de Chrome (11.0.696.65). Le code et les détails techniques des vulnérabilités ne seront pas divulgués publiquement. Ils seront exclusivement partagés avec les clients de Vupen, notamment des gouvernements. Chaouki Bekar, le P-DG de Vupen a indiqué qu'il n'avait pas l'intention de partager les informations avec Google.

En effet, le but de Vupen n'est pas de se faire de l'argent de poche, mais bien de toucher le pactole !
Avatar de abriotde abriotde
Membre confirmé
le 13/03/2012 9:16
Surtout Vupen veut défendre une noble cause : aider les gouvernements à surveiller leurs citoyens... pour la défense du bien commun (aider Sarko et sa loi Hadopi, aider l'Iran dans sa lutte contre le porno et la Chine dans sa lutte pour l'union et la sécurité Nationnal...) il faudrait qu'ils s'ouvrent pour aider les pauvres africains à se nourrir en arnaquant les européens.
Avatar de MiaowZedong MiaowZedong
Membre Expert
le 13/03/2012 10:35
Petite précision par rapport à ce qu'a annoncé Sarah Mendès: le concours Pwn2Own fait la différence entre deux types de failles, celles qui permettent d'executer un code dans le navigateur et celles qui permettent d'échapper à un sandbox (plus de précisions ici). Les deuxièmes sont beaucoup plus rares et donc plus chères.

Le concours Pwn2Own n'est pas trop mal doté, mais les organisateurs estiment qu'ils n'ont pas de quoi acheter les zero-day sur les sandbox, donc ils ne demandent que soient revélées uniquement les failles dans le navigateur proprement dit, mais pas celles dans les sandbox. Google, avec des prix qui sont sensiblement les mêmes (mais plus de prix possibles, ce qui leur permet de dire qu'ils ont mis $1M en jeu--alors qu'ils ne paieront jamais $1M en pratique) exigent de tout savoir. Du coup, les professionels de Vupen ont dit en substance "si ça vous fait plaisir de vendre vos sandbox escape pour une bouchée de pain, allez à Pwnium, on ne vous fera pas concurence".

Glazunov est un étudiant qui a contribué à Chromium: sans doute a t-il trouvé ses failles à ce moment, avant de les monnayer à Pwnium. Vupen est une entreprise qui vit de son travail, et qui a trouvé au total beaucoup plus de vulnérabilités. Ils n'ont donc pas les mêmes exigences de salaire pour leur travail.

Quant à ceux qui reprochent à Vupen de mettre un prix trop elevé sur leurs failles: est-ce-que vous apprécierez qu'on vous propose de travailler pour moins que votre salaire actuel? Parce que c'est bien ce que Google leur propose.

Cela dit, il ne serait pas étonnant que Google leur achete le sandbox escape en privé
Avatar de samloba samloba
Membre du Club
le 15/03/2012 15:36
Citation Envoyé par abriotde  Voir le message
...il faudrait qu'ils s'ouvrent pour aider les pauvres africains à se nourrir en arnaquant les européens.


Les africains utilisent leur intelligence pour arnaquer les européens
Les européens utilisent leur force (coups d'état) pour piller les africains
Offres d'emploi IT
Ingénieurs de développement JAVA J2EE (H/F) – CDI - Vincennes
CDI
Logista France - Ile de France - Vincennes (94300)
Parue le 22/04/2014
Stage Refondation du système
Stage
Société Générale France - Ile de France - Paris / Ile de France
Parue le 22/04/2014
Développeur PHP confirmé
CDI
JL Recrutement - Ile de France - Paris (75000)
Parue le 04/04/2014

Voir plus d'offres Voir la carte des offres IT
 
 
 
 
Partenaires

PlanetHoster
Ikoula