De nos jours, nous surfons en toute sérénité sur nos navigateurs internet sans jamais nous douter que ceux-ci ont déjà pu être la cible de multiples attaques. Heureusement que des programmeurs travaillent d’arrache-pied pour que ces navigateur soient stables et sécurisés. Voici alors l’entrée en jeu du Pwn2Own ! Son nom, quelque peu barbare peut gêner certains mais sachez que sans cet événement, vous ne seriez pas capable de lire vos articles préférés sur Le Café du Geek !
Le Pwn2Own est un concours annuel se déroulant pendant la CanSecWest (convention internationale portant sur la sécurité digitale au Canada, plus précisément Vancouver ). Elle a pour but de rassembler des équipes de hackeurs professionnelles dans une compétition afin de déceler et exploiter les failles des différents navigateurs pour qu’ensuite elles soient corrigées. A la clé de cette compétition, une somme, remise à chaque équipe en fonction des failles trouvées et de la rapidité si plusieurs équipes ont utilisées la même faille. Chaque année le défi est différent puisque les hackeurs doivent être capable de faire craquer n’importe quel navigateur avec les derniers correctifs, et ce sur tout type d’ordinateur (cela implique donc des différences dans les configurations de ceux-ci).
Cette année, lors de l’édition 2015, de nombreuses failles ont été dévoilées : 4 pour Internet Explorer, 3 pour Firefox, 2 pour Safari et 1 pour Chrome. Mais ce n’est pas tout ! Windows et Adobe ont aussi vus leurs faiblesses révélées : 5 failles trouvées pour Windows, 3 failles pour Adobe Reader et Adobe Flash. Cependant LA révélation de ce concours c’est lui !
Jung Hoon Lee ! Cet hackeur sud-coréen a raflé à lui tout seul presque la moitié de la somme mise en jeu pour l’événement ! Sous son pseudo « lokihardt » il a piraté, seul, Chrome, Safari et Windows en quelques minutes ! Il a reçu une prime de 11000$ pour avoir trouvé une faille concernant la version beta de Chrome. La performance lui a permis d’amasser tout d’abord 75 000 dollars issus du concours proprement dit. Mais la méthode utilisée, qui s’est appuyée sur deux bugs dans le noyau Windows, lui a permis d’engranger également 25 000 dollars supplémentaires. Quant aux 10 000 dollars restants, ils ont été donnés directement par Google, pour avoir pu reproduire l’exploit sur Chrome bêta. D’autant plus que cette somme a été complétée plus tard par 65 000 autres dollars, provenant cette fois de l’exploitation d’une faille dans Internet Explorer 11 en 64 bits. Notez également que le même Jung Hoon Lee a percé les défenses de Safari sur Mac, lui octroyant 50 000 dollars supplémentaires, pour un total de 225 000 dollars durant la compétition.
Sachez, en général que les sommes aussi importantes sont décernés aux équipes de plusieurs hackers/chercheurs … Ceci en dit long sur le talent de cet homme.
Comme d’habitude, les résultats du concours seront suivis par des mises à jour rapprochées pour tous les navigateurs et produits concernés, Firefox ayant déjà reçu son correctif (mouture 36.0.4).
A savoir aussi qu’il existe un Pwn2Own réservé à la sécurité de nos chers smartphones marchant dans la même optique.
