La sécurité de Google Chrome vaincue dans deux concours de bidouillage
Staff - Branchez-vous.com
Depuis la création du
concours de bidouillage Pwn2Own, il y a six ans, jamais personne n’avait
percé la muraille du «carré de sable» de Chrome. En fait, à peu près
personne ne s’était même donné la peine d’essayer: les participants
préféraient s’attaquer à des cibles plus faciles, comme… Tous les
autres navigateurs Web courants. Mais la séquence a pris fin hier, et
deux fois plutôt qu’une.
À Pwn2Own proprement dit, c’est l’équipe de la compagnie
Vupen Security qui a trouvé une faille dans la version courante de
Chrome et qui s’en est servi pour prendre le contrôle d’un ordinateur.
Les détails n’ont pas été dévoilés, mais la recette utiliserait une
combinaison de deux exploits, dont une défaillance dans le plugiciel
Flash — une source fréquente de ce genre de problèmes. Vupen est une
habituée de Pwn2Own, où la sécurité de Mac OS X Snow Leopard était
tombée sous ses coups l’année dernière; son équipe a aussi vaincu
Internet Explorer 8, Safari 5 et Firefox 3 en quelques heures hier.
Pendant ce temps, Google commanditait un autre concours, intitulé
Pwnium et doté d’une bourse totale d’un million de dollars, dans le but
de découvrir les faiblesses de son navigateur. Là aussi, une faille a
été identifiée et exploitée en quelques minutes; c’est l’étudiant russe
Sergei Glazunov qui a réussi le coup et qui obtiendra un prix de 60
000$US en échange du dévoilement à Google de la technique qu’il a
utilisée. (Vupen ne recevra rien puisque Google ne commandite plus
Pwn2Own et que Vupen a refusé de dévoiler ses secrets.)
À ce jour, aucune attaque de type «zero day» (utilisant une faille
inconnue des développeurs de Chrome) n’a été rapportée dans la réalité.
Articles récents du même sujet
