La semaine dernière (du 24 au 27 Mars) s’est tenu le concours Pwn2Own 2010 organisé par Can Sec West qui a mis cette année à l’épreuve la sécurité des navigateurs web du marché ainsi que divers téléphones (iPhone, Blackberry, Nexus One, Nokia E72). Le but est simple être le premier à pirater/hacker les logiciels. Toutes les techniques sont bonnes et le premier qui arrive à casser la sécurité de l’équipement/logiciel se voit attribuer une récompense. Il y avais 40 000$ à se partager pour le piratage des navigateurs les plus utilisés : Internet Explorer 8, Firefox 3.6, Safari 4 et Chrome 4. Bien sûr que le concours soit encore plus intéressant les dernières versions ont été choisi. Mais alors quels ont été les résultats ?

Le résultat sur les navigateurs est plutôt intéressant. Tous les navigateurs ont été « facilement » piratés sauf un…..je vous le donne en mille….Google Chrome. En effet, il semblerait que sa campagne sur la sécurité (Google donnait 1337$ pour tout bug important de sécurité trouvé : Gagner de l’argent en débuggant Google Chrome)  ait porté ses fruits. Le navigateur Google Chrome aura été le seul navigateur web à ne pas craquer sous la pression des experts hackers. Google peut donc se vanter d’avoir le navigateur le plus sécurisé et le plus rapide du web à l’heure où les virus prolifèrent à une vitesse vertigineuse.

En ce qui concerne les équipements, aucune surprise, ils ont tous été piraté. De Windows7 à Mac OSX et de l’iPhone au Nexus One, aucun de ses équipements n’a résisté. Il s’avère même que certains hackers aient utilisé des failles et exploits (logiciel permettant d’utiliser ses failles) non connu des marques ce qui témoigne bien du retard que celles-ci peuvent avoir en matière de sécurité. Il est évident qu’ils n’arriveront jamais à concevoir un système sécurisé à 100 % mais au vu du faible temps que cela a pris aux hackers pour les pirater (quelques minutes) et de la facilité de l’utilisation de certains exploits, il est impressionnant de voir que de telles failles existent. Même si, je vous l’accorde, le hacker utilise le logiciel/équipement dans une utilisation non prévue initialement et recherche les dysfonctionnements (effet de bord) pour s’introduire dans le système.

La conférence Pwn2Own a été encore un franc succès. Cela permet de se rendre compte que les logiciels développés sont loin d’être exempt de bugs et que c’est donc à l’utilisateur final de faire attention à ce qu’il fait. Des mots de passes compliqués, une attention accrue sur les fichiers téléchargés et les sites suspects ne pourra jamais être remplacés par les systèmes les plus sûrs. Bien évidemment les marques des constructeurs, éditeurs étaient présents au Pwn2Own et toutes les failles utilisées et découvertes leur ont été communiqué. Nous attendons donc un maximum de mises à jours dans les jours qui viennent…

Source : TippingPoint