Aucun navigateur ne résiste aux attaques des experts en sécurité
Lors du premier jour du Pwn2Own 2010, le tour de Chrome arrive

Le , par Gordon Fowler, Expert éminent sénior
La nouvelle n'en est pas vraiment une.

Mais elle a au moins le mérite de rappeler une évidence : aucun navigateur n'est sûr à 100 %.

Safari, Internet Explorer (version 8) et Firefox n'ont pas résisté aux attaques des experts en sécurité lors du Pwn2Own qui se déroule actuellement.

Le Pwn2Own est concours de hacking où les navigateurs sont mis à rude épreuve. Le but est de mettre à jour leurs failles et leurs vulnérabilités. Le but n'est évidemment pas de créer de l'insécurité. Au contraire, il s'agit d'attirer l'attention des éditeurs sur les faiblesses de leurs applications pour qu'ils puissent les corriger. Les exploits ne sont d'ailleurs pas rendus publiques.

A noter qu'Opera, le navigateur norvégien, n'est pas présent à cette manifestation.

Internet Explorer 8 – sur Windows 7, 64 bits, entièrement mis à jour - n'aura tenu que deux minutes. Quant à Firefox (version 3 - et non la 3.6.2 récemment sortie), il n'aura pas duré beaucoup plus longtemps. Les deux exploits réalisés sur ces navigateurs ont permis de contourner les protections intégrées de Windows 7.

En revanche Google Chrome, avec son bac à sable intégré, devrait, d'après les prévisions, tenir un peu plus longtemps la dragée haute aux participants.

A suivre donc.

Source : Le fil Twitter officiel du compte rendu du Pwn2Own 2010

Lire aussi :

« Windows 7 et Internet Explorer 8 est la combinaison la plus sécurisée mais sans Flash », déclare un expert en sécurité renommé

Les rubriques (actu, forums, tutos) de Développez :

Sécurité
Windows
Système
Développement Web


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de dams78 dams78 - Membre chevronné https://www.developpez.com
le 26/03/2010 à 14:34
Citation Envoyé par brulain  Voir le message
S'il n'y avait que les navigateurs pour présenter des failles!
Heureusement que quelques spéléologues passionnés et vertueux livrent gracieusement leurs découvertes aux éditeurs concernés qui n'en demandaient pas tant ; mais ça ne va peut-être pas durer, du moins la gratuité.

C'est pas Mozilla qui rénumère les auteurs de bugs (enfin ceux qui les trouvent).
Et je crois que Google a décidé de faire pareil en proposant 200$.
Avatar de _LVEB_ _LVEB_ - Membre du Club https://www.developpez.com
le 26/03/2010 à 15:19
Citation Envoyé par dams78  Voir le message
C'est pas Mozilla qui rénumère les auteurs de bugs (enfin ceux qui les trouvent).
Et je crois que Google a décidé de faire pareil en proposant 200$.

Je crois que ca va jusqu'à 1337$
Avatar de Bryce de Mouriès Bryce de Mouriès - Membre actif https://www.developpez.com
le 26/03/2010 à 15:28
Finalement je trouve ça plutôt lassant ces histoires de compétition de sécurité, on le sait très bien qu'aucun navigateur n'est parfait en sécurité. Cela fait des années que l'on essaye de toujours sécuriser d'avantage sans jamais atteindre la perfection, car on le sait très bien les hackeurs auront toujours un temps d'avance. Ça pourrait faire l'objet d'un débat "Arrivera-t-on un jour à réaliser une sécurité parfaite ?", pour changer ce qui serait intéressant c'est de savoir que tel navigateur est infaillible ! (du moins jusqu'à la prochaine mise à jour).
En attendant il ne faut pas rompre ce mouvement perpétuel de hack/correction/hack ...
Avatar de Loceka Loceka - Expert confirmé https://www.developpez.com
le 26/03/2010 à 15:37
Citation Envoyé par _LVEB_  Voir le message
Je crois que ca va jusqu'à 1337$

w00t !
Avatar de dams78 dams78 - Membre chevronné https://www.developpez.com
le 26/03/2010 à 16:05
Citation Envoyé par Bryce de Mouriès  Voir le message
Finalement je trouve ça plutôt lassant ces histoires de compétition de sécurité, on le sait très bien qu'aucun navigateur n'est parfait en sécurité. Cela fait des années que l'on essaye de toujours sécuriser d'avantage sans jamais atteindre la perfection, car on le sait très bien les hackeurs auront toujours un temps d'avance. Ça pourrait faire l'objet d'un débat "Arrivera-t-on un jour à réaliser une sécurité parfaite ?", pour changer ce qui serait intéressant c'est de savoir que tel navigateur est infaillible ! (du moins jusqu'à la prochaine mise à jour).
En attendant il ne faut pas rompre ce mouvement perpétuel de hack/correction/hack ...

Bah non justement, le propre de la sécurité c'est justement d'avoir un temps d'avance sur l'attaquant. C'est exactement ce qu'il se passe en cryptographie avec les calculs à trappes : on sait faire le calcul (enfin le deviner) pour casser la clé de cryptage mais techniquement avec la force de calcul qu'on possède cela prendrait des siècles.
Avatar de Gordon Fowler Gordon Fowler - Expert éminent sénior https://www.developpez.com
le 26/03/2010 à 16:40
Citation Envoyé par brulain  Voir le message
Heureusement que quelques spéléologues passionnés et vertueux livrent gracieusement leurs découvertes aux éditeurs concernés

Bah c'est de moins en moins vrai en fait.

Charlie Miller, qui a gagné plusieurs fois le concours, n'indique pas les failles aux éditeurs. Ils leur dit juste "en gros" comment il les a trouvées et après à eux de se débrouiller.

Il fait ça justement parce qu'il en a marre de voir que les progrès qu'ils font dans la sécurisation des applications sont très très lents.
Avatar de gmotw gmotw - Membre confirmé https://www.developpez.com
le 26/03/2010 à 17:18
Citation Envoyé par Gordon Fowler  Voir le message
Il fait ça justement parce qu'il en a marre de voir que les progrès qu'ils font dans la sécurisation des applis sont très très lents.

C'est sûr que ça va aller vachement plus vite si les éditeurs savent qu'il y a une faille mais doivent la rechercher.
Avatar de valkirys valkirys - Membre expérimenté https://www.developpez.com
le 26/03/2010 à 18:01
Citation Envoyé par gmotw  Voir le message
C'est sûr que ça va aller vachement plus vite si les éditeurs savent qu'il y a une faille mais doivent la rechercher.

En fait Charlie Miller a déjà écrit un livre pour Mac Leopard et comment le sécuriser, puis il s'est plaint que Snow leopard n'ait pas les améliorations nécessaires ... A force de "parler dans le vide" sans être écouter, malgré les infos qu'il donne et qui permettent de comprendre comment il a craqué plein de logiciels, je comprends qu'il ne veuille pas aider davantage.
Au fond les méthodes pour hacker qu'il utilise peuvent être "industrialisées" pour tester les logiciels par les éditeurs .
Avatar de nicolofontana12 nicolofontana12 - Inscrit https://www.developpez.com
le 26/03/2010 à 21:16
Chrome a été bel et bien attaqué mais il a resisté donc le titre de l'article ne correspond pas à la realité.
Avatar de nicolofontana12 nicolofontana12 - Inscrit https://www.developpez.com
le 27/03/2010 à 6:19
Citation Envoyé par dams78  Voir le message
Bah non justement, le propre de la sécurité c'est justement d'avoir un temps d'avance sur l'attaquant. C'est exactement ce qu'il se passe en cryptographie avec les calculs à trappes : on sait faire le calcul (enfin le deviner) pour casser la clé de cryptage mais techniquement avec la force de calcul qu'on possède cela prendrait des siècles.


Tout a fait d'accord ; en cryptographie le problème c'est pas de savoir l'algorithme mais le temps nécessaire qu'il te faudra pour décrypter avec le matériel qu'il faut [ Exemple : un ordinateur de quelle centaines de Giga de processeurs) sinon tout le monde sait que le nombre de caractères est bien finie ( limité) même si on tient compte de toutes les langues!
Avatar de GoustiFruit GoustiFruit - Membre éclairé https://www.developpez.com
le 03/04/2010 à 9:56
Mouais, Opera n'est pas représenté soit disant à cause des parts de marché... sauf que sur les mobiles il est très bien placé. J'ai l'impression que ces petits hackers n'ont pas eu le cran tout simplement
Offres d'emploi IT
Ingénieur intégration, validation, qualification du système de drone H/F
Safran - Ile de France - Éragny (95610)
Ingénieur développement fpga (traitement vidéo) H/F
Safran - Ile de France - 100 rue de Paris 91300 MASSY
Responsable protection des données H/F
Safran - Ile de France - Magny-les-Hameaux (78114)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil