Pwn2Own : les hackers se jouent des navigateurs et de Java
A l'occasion de la première journée du concours de piratage Pwn2Own, les navigateurs Internet n'ont pas été à la fête. IE10, Chrome et Firefox ont été les premières victimes. Seul Safari fait de la résistance.
Des équipes de chercheurs en sécurité ont réussi à pirater IE10, Chrome et Firefox lors de la première journée du concours Pwn2own, organisé en marge de la conférence CanSecWest qui se déroule à Vancouver. Ils ont obtenu plus de 250 000 dollars de récompense.
La société de sécurité, Vupen, connue par ses prestations lors du concours les années précédentes a fait tomber IE10 sur Windows 8 tournant sur une tablette Surface Pro. « Nous avons craqué la Surface Pro avec deux failles zero day sur IE10 pour compromettre Windows 8 et contourner le système de sandbox », a expliqué Vupen sur Twitter. HP TippingPoint co-organisateur du concours a confirmé dans un autre tweet le piratage de Vupen.
Selon les règles du Pwn2Own, qui ont été révisées par rapport à l'édition 2012, le premier chercheur ou équipe qui réussit à pirater IE10 sous Windows 8 remporte 100 000 dollars. A la fin de la première journée, Vupen a annoncé le piratage de Firefox 19 sur Windows 7, glanant au passage 60 000 dollars.
Chrome et Java piratés sans difficultés
Pour Chrome, une équipe de deux personnes de MWR Labs, une filiale de MWR Infosecurity au Royaume-Unin ont piraté Chrome 25 sur Windows 7. Ils ont exploité plusieurs failles de type zero day ou non corrigées dans le navigateur et l'OS. Comme pour le hack d'IE10 par Vupen, l'attaque de Chrome a contourné la technologie de sandboxing de Windows. Les deux chercheurs, l'un connu sous le seul prénom Nils et l'autre Jon Butler, ont décrit leur méthode dans un blog. Pour leur exploit, ils obtiennent 100 000 dollars de récompense.
Au début du concours, deux spécialistes, James Forshaw, consultant chez Context Information Security et Joshua Drake d'Accuvant ont remporté 20 000 dollars pour le piratage de Java. Vupen a également présenté une faille dans Java 7 et son exploitation. Dans une dérogation aux régles d'origine, ZDI (Zero Day Initiative) a indiqué qu'elle achèterait toutes les failles qui seraient découvertes et exploitées, mais sans avoir été récompensées. Elle est par contre restée discrète sur le montant accordé à ces vulnérabilités secondaires.
Il reste encore des primes à accorder, dont 140 000 dollars (2 x 70 000) pour Flash Player et Reader d'Acrobat sur Windows 7. 65 000 dollars sont prévus pour Safari sur MacOS X Mountain Lion.
