La grande messe annuelle du piratage de navigateur s’est tenue pendant 3 jours à Vancouver, du 9 au 11 mars, le fameux Pwn2own 2011. Il a été organisé par le cabinet de sécurité TippingPoint. Il semble bien que Chrome confirme que c’est un navigateur sur. Certes, il utilise la même base que Safari (Webkit), mais il présente une particularité qui le rend difficile à pirater, la sandbox (la vidéo présente ci-dessous devrait vous éclairer si vous ne connaissez pas son fonctionnement – en anglais).
[youtube]http://www.youtube.com/watch?v=29e0CtgXZSI[/youtube]
Les premiers navigateurs auxquels se sont attaqués les hackers sont Internet Explorer 8 (par Stephen Fewer de Harmony Security) et Safari (cocorico, par l’équipe française de Vupen). Et devinez quoi, leur sécurité a volé en éclat très rapidement. Pour IE8, ce sont 3 failles de sécurité permettant de prendre le contrôle de Windows 7 qui ont été dévoilées, alors que pour Safari, 5 minutes auront été suffisantes en appliquant un patch qui avait été élaboré bien avant le concours.
Google avait rajouté 20 000 $ supplémentaires pour celui qui parviendrait à trouver une faille. Et pour la 3ème année consécutive, personne n’a réussi. Le seul hacker prêt à relever le défi s’est désisté juste avant, peut-être en raison de la mise à jour faite quelques heures avant permettant de supprimer 19 failles de sécurité.
Pour la petite histoire, on retiendra que c’était au tour des smartphones de subir les foudres des hackers lors de la 2ème journée. Le Iphone 4 n’a pas résisté longtemps, les pirates ayant réussi à supprimer le carnet de contacts via un site. 3 autres chercheurs ont planché sur le Blackberry . Ils ont gentiment réussi à passer outre la sécurité en exploitant les faiblesses du moteur Webkit, pour accéder au carnet d’adresse et aux photos.
A noter enfin que Firefox a fait jeu égal avec Chrome puisqu’il n’a pas été piraté.
Allez, la suite l’année prochaine…
Source http://www.goopilation.com
