Organisé chaque année, le concours Pwn2Own met à l'épreuve la sécurité des navigateurs web. Cette année, la compétition a démarré sur les chapeaux de roues puisque des vulnérabilités ont été révélées dans les trois principaux logiciels du marché, à savoir Internet Explorer, Google Chrome et Mozilla Firefox. Cette compétition a également permis de mettre au jour de nouvelles failles dans Windows et Java.
Comme l'an passé, les hackers ont contourné les dispositifs de protection Data Execution Prevention (DEP) et Address Space Layout Randomization (ASLR) et à sortir du bac à sable (sandbox), dont le rôle est de pouvoir tester et exécuter des programmes sans compromettre la sécurité du système. Les employés des sociétés de sécurité Vupen et MWR Labs se sont particulièrement distingués à cette occasion.
ALL our 0days & techniques used at #Pwn2own have been reported to affected software vendors to allow them issue patches and protect users
— VUPEN Security (@VUPEN) 7 mars 2013
Ce concours est primordial pour les éditeurs, car il leur permet de repérer des défaillances en toute sécurité. En effet, les méthodes présentées pendant Pwn2Own sont ensuite transmises aux développeurs des programmes concernés, qui élaborent ensuite des correctifs. C'est le cas de Mozilla par exemple, qui a publié dans les 24 heures un patch pour combler une faille zero day.
Les techniques utilisées ne sont jamais détaillées publiquement, du moins tant qu'aucune mise à jour n'a été déployée. Cette précaution vise à éviter qu'elles soient mises en oeuvre par des personnes mal intentionnées. Cependant, la solidité croissante des logiciels nécessite d'utiliser des méthodes de plus en plus élaborées, qui sont heureusement hors de portée du premier quidam venu.
La compétition Pwn2Own est très courue. Les participants ont en effet l'occasion de gagner en notoriété en mettant au sol quelques-uns des logiciels les plus utilisés au monde. En outre, ils peuvent aussi remporter des prix de grande valeur, dont les montants peuvent atteindre 100 000 dollars. Et ceux-ci peuvent être cumulés si plusieurs vulnérabilités sont rapportées pendant le concours.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !