Pwn2Own 2012 : Chrome tombe le premier jour
Le navigateur de Google hacké par les experts en sécurité français de Vupen

Le , par Hinault Romaric, Responsable .NET
La sécurité du navigateur Chrome a cédé en seulement quelques minutes face aux hackers lors de la première journée du concours de hacking Pwn2Own.

Pwn2Own est une compétition annuelle pendant le sommet sur la sécurité informatique CanSecWest. Elle permet aux meilleurs experts en sécurité de se retrouver pour déceler et exploiter les failles de sécurité des systèmes et des applications.

Le navigateur de Google qui n’avait pas pu être hacké jusqu’ici de par son dispositif de sécurité reposant sur le Sandbox (bac à sable), est tombé devant les chercheurs en sécurité de la firme française Vupen.

L’équipe conduite par Chaouki Bekrar, cofondateur de Vupen, a utilisé une vulnérabilité permettant la distribution aléatoire de l'espace d'adressage pour contourner les protections DEP et ASLR de Windows et une autre faille dans le Sandbox de Chrome pour prendre le contrôle d’une machine 64 bit Windows 7 SP1.

Les chercheurs de Vupen se sont présentés cette année avec quatre attaques pour Chrome, Safari, Internet Explorer et Firefox. Ils auraient cependant choisi de commencer par le plus difficile. « Nous avons vu beaucoup de messages disant que personne ne pouvait pirater Chrome, nous voulions nous assurer qu’il soit le premier à tomber cette année » a déclaré Bekrar.

Pour mémoire, lors de l’édition précédente de Pwn2Own, les chercheurs de VUPEN ont fait tomber la sécurité du navigateur Safari en seulement quelques minutes, remportant ainsi la récompense de 15 000 dollars.

Source : CanSecWest

Et vous ?

Qu’en pensez-vous ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de CAML CAML - Membre averti https://www.developpez.com
le 09/03/2012 à 8:42
Citation Envoyé par kOrt3x  Voir le message
Rien de tel qu'un bon Firefox. Qu'en pensez-vous ?

Rien de tel qu'un bon troll
Avatar de David_g David_g - Membre éclairé https://www.developpez.com
le 09/03/2012 à 9:34
Citation Envoyé par Shemsu-Hor  Voir le message
Ou pas.

Les atouts de Chrome sont nombreux et ne se situent pas seulement au niveau de sa sécurité. De plus Firefox a déjà flanché lors d'un Pwn2own, et il tombera à nouveau...

Les atouts de Firefox sont nombreux et ne se situent pas seulement au niveau des extensions. De plus Chrome a déja flanché lors d'un Pwn2own,, et il tombera à nouveau.

Bref on peut utiliser cette phrase pour quasi tous les navigateurs.
Avatar de Reward Reward - Membre confirmé https://www.developpez.com
le 09/03/2012 à 9:58
Que sait-on sur Opera et sa sécurité ? Est-il déjà tombé ?
Avatar de Freem Freem - Membre émérite https://www.developpez.com
le 09/03/2012 à 10:41
En même temps, tant que les navigateurs feront le café, ils auront des failles.
Plus il y a de fonctionnalités, plus la base de code augmente (enfin, la plupart du temps). Et plus la base de code augmente, plus il y a de failles, c'est logique.

Les navigateurs ont une telle quantité de fonctionnalités qu'il paraît évident qu'ils peuvent tous tomber:
_ rendu html standard
_ support de html non standard
_ javascript
_ cookies
_ onglets
_ plugin
_ historique
_ cache
_ auto complétion
_ intégration de(s) moteur(s) de recherche
_ affichage d'image
_ annulation d'action
_ recherche de texte
_ favoris

Liste non exhaustive mais qui indique bien pourquoi les navigateurs tombent et tomberont tous.
Le seul qui pourra peut-être éviter de tomber quand il sera fini ce sera peut-être uzbl mais... je doute qu'il soit populaire un jour, y compris auprès des geek, puisque ses seules fonctionnalités natives, c'est d'afficher une page et le support du langage python pour être étendu ^^
(bon, celui-ci permet d'ajouter d'autres fonctionnalités indispensables, comme les onglets)

Quoique, à bien y réfléchir, même les outils simples peuvent contenir des failles/bugs... un buffer overflow est si vite arrivé.

Bref, que chrome tombe n'est ni surprenant, ni anormal.
J'ai beau ne pas l'utiliser, je suis quand même capable de lire qu'ils voulaient qu'il tombe en 1er. Pour faire cesser l'enflage de chevilles sans doute.
Avatar de David_g David_g - Membre éclairé https://www.developpez.com
le 09/03/2012 à 12:12
Citation Envoyé par Reward  Voir le message
Que sait-on sur Opera et sa sécurité ? Est-il déjà tombé ?

il n'est pas pris en compte car trop confidentiel comme navigateur (enfin je sais pas si cela a changé mais les premiers concours ne l'incluaient pas pour cela, d'ailleurs Chrome au départ n'était mis que pour faire plaisir à google)
Avatar de Shemsu-Hor Shemsu-Hor - Membre régulier https://www.developpez.com
le 09/03/2012 à 12:36
Les atouts de Firefox sont nombreux et ne se situent pas seulement au niveau des extensions. De plus Chrome a déja flanché lors d'un Pwn2own,, et il tombera à nouveau.

Bref on peut utiliser cette phrase pour quasi tous les navigateurs.

On est donc d'accord pour dire que phrase type : Rien de tel que, n'a pas sa place ici.
Avatar de maskk maskk - Membre à l'essai https://www.developpez.com
le 09/03/2012 à 12:51
Citation Envoyé par CAML  Voir le message
Rien de tel qu'un bon troll

Hé mec ! On est sur un forum informatique le genre de réponse non fondée et agressive généralement ca passe pas entre "informaticien"...et garde tes expressions de "gamer" pour les fofo blizzard and co s'il te plait...
Mon avis:
J'utilise les deux navigateurs chrome pour regarder les épisodes en streaming et firefox pour travailler ^^ et je pense que ça résume bien ...
L'un est rapide mais trop basique (les plugins développés ne sont pas assez étudiés encore..).
L'autre complet, pratique, mais son défaut majeur et invivable serait sa consommation excessive de mémoire.
Mais l'objet du post était de parler de sécurité... donc oui question sécurité Firefox a fait des efforts et ca se voit sur les Pwn2Own 2012...
Je trouve que la firme (google) depuis son succès récent prend un peu la grosse tête...
Je souligne ici la remarque pas très glorieuse de Google qui contestait l'exploit de l’équipe de hacker en se basant sur le fait que la version de chrome n’était pas la dernière ... :
Google avait jugée celle-ci invalide en affirmant que les experts avaient exploité une faille du plugin Flash Player...
Plus généralement je trouve ces rassemblement extrêmement gratifiant pour les entreprises... le fait de trouver une faille n'est pas qu'un échec de l'entreprise mais surtout une façon de renforcer son logiciel face aux intrusions... on devrait plus insister sur l'exploit des hackers (qui eux sont en compétition) que de la faille du navigateur ^^
Mais ce n'est que mon avis ...

Au passage : merci a Hinault Romaric pour son article détaillé
Avatar de Reward Reward - Membre confirmé https://www.developpez.com
le 09/03/2012 à 16:13
Citation Envoyé par David_g  Voir le message
il n'est pas pris en compte car trop confidentiel comme navigateur (enfin je sais pas si cela a changé mais les premiers concours ne l'incluaient pas pour cela, d'ailleurs Chrome au départ n'était mis que pour faire plaisir à google)

Qu'entends-tu par "trop confidentiel" ?
Avatar de David_g David_g - Membre éclairé https://www.developpez.com
le 12/03/2012 à 10:55
Part de marché infime en desktop.
De mémoire y'a quelque chose comme 2% en gros des utilisateurs qui utilisent opera.
Avatar de kershin kershin - Membre du Club https://www.developpez.com
le 12/03/2012 à 11:48
@maskk

Question agressivité, tu ne fais pas mal non plus. Et, je suis désolé, mais il s'agit bien d'un troll, expression de gamer ou pas, rien n'est plus indiqué pour désigner ce genre de propos, surtout lorsqu'on sait que Vupen a aussi craqué IE9, FF et Safari. Cela revient à écrire "Rien de tel qu'un mac, qu'en pensez-vous ?" lorsqu'on découvre une faille dans une appli linux.

Ceci dit, bravo à Vupen, ils vont grandement contribuer à l'amélioration de la sécurisation de Chrome et consorts.
Avatar de ABCIWEB ABCIWEB - Expert éminent https://www.developpez.com
le 12/03/2012 à 22:30
Citation Envoyé par kershin  Voir le message
Ceci dit, bravo à Vupen, ils vont grandement contribuer à l'amélioration de la sécurisation de Chrome et consorts.

Ce message là ne semble pas aussi catégorique sur ce point...
Offres d'emploi IT
Architecte technique des systèmes d'information H/F
Safran - Ile de France - Évry (91090)
Architecte électronique de puissance expérimenté H/F
Safran - Ile de France - Villaroche - Réau
Architecte sécurité des systèmes d'information embarqués H/F
Safran - Ile de France - 100 rue de Paris 91300 MASSY

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil