Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Pwn2Own 2012 : Chrome tombe le premier jour
Le navigateur de Google hacké par les experts en sécurité français de Vupen

Le , par Hinault Romaric

0PARTAGES

5  0 
La sécurité du navigateur Chrome a cédé en seulement quelques minutes face aux hackers lors de la première journée du concours de hacking Pwn2Own.

Pwn2Own est une compétition annuelle pendant le sommet sur la sécurité informatique CanSecWest. Elle permet aux meilleurs experts en sécurité de se retrouver pour déceler et exploiter les failles de sécurité des systèmes et des applications.

Le navigateur de Google qui n’avait pas pu être hacké jusqu’ici de par son dispositif de sécurité reposant sur le Sandbox (bac à sable), est tombé devant les chercheurs en sécurité de la firme française Vupen.

L’équipe conduite par Chaouki Bekrar, cofondateur de Vupen, a utilisé une vulnérabilité permettant la distribution aléatoire de l'espace d'adressage pour contourner les protections DEP et ASLR de Windows et une autre faille dans le Sandbox de Chrome pour prendre le contrôle d’une machine 64 bit Windows 7 SP1.

Les chercheurs de Vupen se sont présentés cette année avec quatre attaques pour Chrome, Safari, Internet Explorer et Firefox. Ils auraient cependant choisi de commencer par le plus difficile. « Nous avons vu beaucoup de messages disant que personne ne pouvait pirater Chrome, nous voulions nous assurer qu’il soit le premier à tomber cette année » a déclaré Bekrar.

Pour mémoire, lors de l’édition précédente de Pwn2Own, les chercheurs de VUPEN ont fait tomber la sécurité du navigateur Safari en seulement quelques minutes, remportant ainsi la récompense de 15 000 dollars.

Source : CanSecWest

Et vous ?

Qu’en pensez-vous ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de CAML
Membre averti https://www.developpez.com
Le 09/03/2012 à 8:42
Citation Envoyé par kOrt3x Voir le message
Rien de tel qu'un bon Firefox. Qu'en pensez-vous ?
Rien de tel qu'un bon troll
11  0 
Avatar de David_g
Membre éclairé https://www.developpez.com
Le 09/03/2012 à 9:34
Citation Envoyé par Shemsu-Hor Voir le message
Ou pas.

Les atouts de Chrome sont nombreux et ne se situent pas seulement au niveau de sa sécurité. De plus Firefox a déjà flanché lors d'un Pwn2own, et il tombera à nouveau...
Les atouts de Firefox sont nombreux et ne se situent pas seulement au niveau des extensions. De plus Chrome a déja flanché lors d'un Pwn2own,, et il tombera à nouveau.

Bref on peut utiliser cette phrase pour quasi tous les navigateurs.
7  0 
Avatar de Makkintoch
Membre du Club https://www.developpez.com
Le 08/03/2012 à 17:06
Au moins ça prouve que Chrome n'est pas invulnérable malgré son dispositif de sécurité sandbox, et ça forcera les développeurs à mieux protéger leur navigateur
En tout cas gloire à la firme française Vupen
3  0 
Avatar de Shemsu-Hor
Membre régulier https://www.developpez.com
Le 09/03/2012 à 7:21
Rien de tel qu'un bon Firefox. Qu'en pensez-vous ?
Ou pas.

Les atouts de Chrome sont nombreux et ne se situent pas seulement au niveau de sa sécurité. De plus Firefox a déjà flanché lors d'un Pwn2own, et il tombera à nouveau...
5  3 
Avatar de kershin
Membre du Club https://www.developpez.com
Le 12/03/2012 à 11:48
@maskk

Question agressivité, tu ne fais pas mal non plus. Et, je suis désolé, mais il s'agit bien d'un troll, expression de gamer ou pas, rien n'est plus indiqué pour désigner ce genre de propos, surtout lorsqu'on sait que Vupen a aussi craqué IE9, FF et Safari. Cela revient à écrire "Rien de tel qu'un mac, qu'en pensez-vous ?" lorsqu'on découvre une faille dans une appli linux.

Ceci dit, bravo à Vupen, ils vont grandement contribuer à l'amélioration de la sécurisation de Chrome et consorts.
2  0 
Avatar de ABCIWEB
Expert éminent https://www.developpez.com
Le 12/03/2012 à 22:30
Citation Envoyé par kershin Voir le message

Ceci dit, bravo à Vupen, ils vont grandement contribuer à l'amélioration de la sécurisation de Chrome et consorts.
Ce message là ne semble pas aussi catégorique sur ce point...
1  0 
Avatar de air-dex
Membre expert https://www.developpez.com
Le 08/03/2012 à 19:53
Ah le fameux navigateur qui a soi-disant résisté à tous les Pwn2Own et qui tombe à sa 1ère participation.

Il ne reste que Konqueror (et Opera ?) qui ai(en)t résisté à TOUS les Pwn2Own.
0  0 
Avatar de Reward
Membre confirmé https://www.developpez.com
Le 09/03/2012 à 9:58
Que sait-on sur Opera et sa sécurité ? Est-il déjà tombé ?
0  0 
Avatar de Freem
Membre émérite https://www.developpez.com
Le 09/03/2012 à 10:41
En même temps, tant que les navigateurs feront le café, ils auront des failles.
Plus il y a de fonctionnalités, plus la base de code augmente (enfin, la plupart du temps). Et plus la base de code augmente, plus il y a de failles, c'est logique.

Les navigateurs ont une telle quantité de fonctionnalités qu'il paraît évident qu'ils peuvent tous tomber:
_ rendu html standard
_ support de html non standard
_ javascript
_ cookies
_ onglets
_ plugin
_ historique
_ cache
_ auto complétion
_ intégration de(s) moteur(s) de recherche
_ affichage d'image
_ annulation d'action
_ recherche de texte
_ favoris

Liste non exhaustive mais qui indique bien pourquoi les navigateurs tombent et tomberont tous.
Le seul qui pourra peut-être éviter de tomber quand il sera fini ce sera peut-être uzbl mais... je doute qu'il soit populaire un jour, y compris auprès des geek, puisque ses seules fonctionnalités natives, c'est d'afficher une page et le support du langage python pour être étendu ^^
(bon, celui-ci permet d'ajouter d'autres fonctionnalités indispensables, comme les onglets)

Quoique, à bien y réfléchir, même les outils simples peuvent contenir des failles/bugs... un buffer overflow est si vite arrivé.

Bref, que chrome tombe n'est ni surprenant, ni anormal.
J'ai beau ne pas l'utiliser, je suis quand même capable de lire qu'ils voulaient qu'il tombe en 1er. Pour faire cesser l'enflage de chevilles sans doute.
0  0 
Avatar de David_g
Membre éclairé https://www.developpez.com
Le 09/03/2012 à 12:12
Citation Envoyé par Reward Voir le message
Que sait-on sur Opera et sa sécurité ? Est-il déjà tombé ?
il n'est pas pris en compte car trop confidentiel comme navigateur (enfin je sais pas si cela a changé mais les premiers concours ne l'incluaient pas pour cela, d'ailleurs Chrome au départ n'était mis que pour faire plaisir à google)
0  0