IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Concours Pwnium : Chrome tombe une deuxième fois
Google paye 60.000 dollars et publie un correctif dans la foulée

Le , par Sarah Mendès

28PARTAGES

3  0 
La conférence CanSecWest s’est déroulée les 7, 8 et 9 mars derniers à Vancouver. Elle attire à chaque édition de nombreux spécialistes de la sécurité informatique.



Le concours Pwnium organisé au cours de la conférence, est l’un des moments forts de l’évènement puisqu’il permet de tester la fiabilité des systèmes d’exploitation et des navigateurs.

Pwnium est un dérivé du concours Pw2nOwn sponsorisé par Google, qui n’était pas d’accord avec une règle de l’autre compétition autorisant les participants, s’ils le souhaitent, à ne pas divulguer les failles exploitées.

Après avoir résisté quatre années, le navigateur de Google, Chrome, est tombé cette fois-ci dans chaque compétition. Le premier à avoir fait tomber Chrome est une société française, Vupen, dans le cadre de Pw2nOwn, qui n’a reçu aucun prix de la part de Google.

Le second est un chercheur en informatique russe, Sergey Glazunov, qui a reçu une récompense de 60.000 dollars par Google. Ce jeune homme a eu recours à un bug qui lui a permis de contourner les restrictions de sécurité de Sandbox, le bac à sable de Chrome.

Sundar Pichai, vice-président de la division « Produits » chez Google, a tenu à féliciter sur Google+ Sergey Glazunov.

Suite à l’évènement, Google a sorti une mise à jour (17.0.963.78) pour combler la faille.

Plus d'informations sur le correctif sur ce billet officiel

Source : Google+

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de MiaowZedong
Membre extrêmement actif https://www.developpez.com
Le 13/03/2012 à 10:35
Petite précision par rapport à ce qu'a annoncé Sarah Mendès: le concours Pwn2Own fait la différence entre deux types de failles, celles qui permettent d'executer un code dans le navigateur et celles qui permettent d'échapper à un sandbox (plus de précisions ici). Les deuxièmes sont beaucoup plus rares et donc plus chères.

Le concours Pwn2Own n'est pas trop mal doté, mais les organisateurs estiment qu'ils n'ont pas de quoi acheter les zero-day sur les sandbox, donc ils ne demandent que soient revélées uniquement les failles dans le navigateur proprement dit, mais pas celles dans les sandbox. Google, avec des prix qui sont sensiblement les mêmes (mais plus de prix possibles, ce qui leur permet de dire qu'ils ont mis $1M en jeu--alors qu'ils ne paieront jamais $1M en pratique) exigent de tout savoir. Du coup, les professionels de Vupen ont dit en substance "si ça vous fait plaisir de vendre vos sandbox escape pour une bouchée de pain, allez à Pwnium, on ne vous fera pas concurence".

Glazunov est un étudiant qui a contribué à Chromium: sans doute a t-il trouvé ses failles à ce moment, avant de les monnayer à Pwnium. Vupen est une entreprise qui vit de son travail, et qui a trouvé au total beaucoup plus de vulnérabilités. Ils n'ont donc pas les mêmes exigences de salaire pour leur travail.

Quant à ceux qui reprochent à Vupen de mettre un prix trop elevé sur leurs failles: est-ce-que vous apprécierez qu'on vous propose de travailler pour moins que votre salaire actuel? Parce que c'est bien ce que Google leur propose.

Cela dit, il ne serait pas étonnant que Google leur achete le sandbox escape en privé
4  0 
Avatar de messinese
Membre éclairé https://www.developpez.com
Le 12/03/2012 à 14:12
Ceci est une simple question de point de vue mais je trouve intéréssant l'idée qu'il y ai encore des gens passionnés présent lors de ces events et qui sont pret a démontrer que des "gus dans un garage" peuvent encore poutrer des grosses multinationales.

Mais ceci n'engage que moi ..
1  0 
Avatar de Joker-eph
Membre confirmé https://www.developpez.com
Le 12/03/2012 à 14:38
Vupen avait un intérêt à choisir l'autre concours ? Est-ce que ne pas divulguer la faille signifie qu'ils peuvent la monnayer autrement ? Genre espionnage and co ?
1  0 
Avatar de
https://www.developpez.com
Le 12/03/2012 à 14:02
Les français ont-ils avertis google de la faille sans pour autant la divulger ?
0  0 
Avatar de kershin
Membre du Club https://www.developpez.com
Le 12/03/2012 à 14:03
Refuser de dévoiler la méthode utilisée est idiot et pédant.
S'ils ne voulaient pas de l'argent, ils pouvaient tout aussi bien redistribuer la somme à une ONG. Bref, une belle bande de nerdz nombrilistes.
0  0 
Avatar de messinese
Membre éclairé https://www.developpez.com
Le 12/03/2012 à 14:46
Cela peut éventuellement etre monnayé autrementen effet mais je doute que ça soit le but .

Vupen est spécialisé dans le disclose de 0-days donc il y a fort a parier que cette vulnerabilitée sera dévoilée sur leur site internet via un bulletin voire meme revendu a google par la suite , mais ça seul leurs membres doivent le savoir..

Une certitude en tout cas: une découverte de ce type ça se lache pas d'un coup sur un salon ou durant un CTF , ça se réfléchi et se négocie ne serait-ce que pour garder de la crédibilité et assurer ses arrieres ..
0  0 
Avatar de messinese
Membre éclairé https://www.developpez.com
Le 12/03/2012 à 13:53
Bravo a Vupen qui démontre ainsi qu'ils ne recherchent pas nécéssairement le fric, chose bien rare et aussi a google qui quand meme démontre une certaine réactivité .
0  1 
Avatar de Droup
Membre régulier https://www.developpez.com
Le 12/03/2012 à 21:29
Voici ce que j'ai trouvé concernant Vupen et cette faille :
Citation Envoyé par Le journal du Net
L'exploit ne fait pas cracher la machine, s'appuie sur deux vulnérabilités 0 day découvertes par Vupen, et fonctionne sur tous les systèmes Windows et la dernière version de Chrome (11.0.696.65). Le code et les détails techniques des vulnérabilités ne seront pas divulgués publiquement. Ils seront exclusivement partagés avec les clients de Vupen, notamment des gouvernements. Chaouki Bekar, le P-DG de Vupen a indiqué qu'il n'avait pas l'intention de partager les informations avec Google.
En effet, le but de Vupen n'est pas de se faire de l'argent de poche, mais bien de toucher le pactole !
0  1 
Avatar de samloba
Membre régulier https://www.developpez.com
Le 15/03/2012 à 15:36
Citation Envoyé par abriotde Voir le message
...il faudrait qu'ils s'ouvrent pour aider les pauvres africains à se nourrir en arnaquant les européens.

Les africains utilisent leur intelligence pour arnaquer les européens
Les européens utilisent leur force (coups d'état) pour piller les africains
0  2 
Avatar de abriotde
Membre chevronné https://www.developpez.com
Le 13/03/2012 à 9:16
Surtout Vupen veut défendre une noble cause : aider les gouvernements à surveiller leurs citoyens... pour la défense du bien commun (aider Sarko et sa loi Hadopi, aider l'Iran dans sa lutte contre le porno et la Chine dans sa lutte pour l'union et la sécurité Nationnal...) il faudrait qu'ils s'ouvrent pour aider les pauvres africains à se nourrir en arnaquant les européens.
0  3