La compétition Pwn2Own 2012 tient toutes ses promesses. Les quatre navigateurs web ont tous été piratés par les équipes de hackers. Google Chrome a cédé en cinq minutes.

La sécurité est un combat permanent à mener, même lorsque l’on s’appelle Google. Le géant de Mountain View a pu s’en rendre compte mercredi lors de la compétition Pwn2Own, qui se déroule actuellement à Vancouver pendant la conférence CanSecWest. Son navigateur maison, Google Chrome, a en effet cédé au bout de cinq minutes sous les assauts de Vupen Security.

Selon les explications qui ont été livrées par le groupe, leur méthode a consisté à contourner d’une part les sécurités Data Execution Prevention (DEP) et Address Space Layout Randomization (ASLR) et d’autre part à s’échapper du bac à sable (sandbox) qui a pour mission d’empêcher l’installation de logiciels malveillants sur l’ordinateur ou toute interaction entre les différents onglets du navigateur.

Cet exploit va permettre à Vupen Security de toucher une partie du million de dollars que Google a mobilisé dans le cadre de la compétition Pwn2Own. La société californienne a en effet voulu motiver les hackers pour qu’ils s’efforcent de casser les protections de Google Chrome. Selon la gravité de la faille repérée, trois niveaux de récompense ont été décidés : 20 000 dollars, 40 000 dollars et 60 000 dollars.

Si Google Chrome a cédé le premier lors du concours, les autres navigateurs web n’ont pas forcément fait beaucoup mieux. Vupen Security affirme avoir aussi mis à terre les trois autres logiciels engagés dans la compétition, à savoir Internet Explorer de Microsoft, Firefox de Mozilla et Safari d’Apple. Le groupe ne précise pas si la méthode employée a été rapide à découvrir et à mettre en œuvre.

Les failles découvertes lors du Pwn2Own sont très précieuses pour les éditeurs. Ces derniers peuvent en effet se mettre au travail pour les colmater et renforcer un peu plus la sécurité de leur produit.

Partager sur les réseaux sociaux

Articles liés