Pwn2Own : Chrome et Safari ont encore subi les assauts des hackeurs

Date de dernière mise à jour : le 5 avril 2016 à 9 h 25 min

Tous les ans, l’événement Pwn2Own regroupe de nombreux hackeurs qui lancent des attaques pour déceler des failles dans différents logiciels tels que Chrome et Safari par exemple, qui n’ont malheureusement pas résisté à ces différents hacks.

Ces attaques sont réalisées par une équipe de white hat (hackeurs) et permettent aux éditeurs de logiciels ou de navigateur de repérer des failles avant qu’elles ne soit exploitées par des personnes mal intentionnées. Des concours sont organisés avec des récompenses à la clé. Pwn2Own, dont nous allons vous parler est probablement le plus réputé.

A l’issue du premier jour, Chrome, le lecteur Flash (dont les failles sont innombrables) et même le navigateur d’Apple n’ont pas résisté à ces attaques. Nous évoquions il y a peu le premier malware sur un iPhone neuf la sécurité n’est pas infaillible contrairement à ce que peuvent penser certains constructeurs.

Nous le savons, Flash Player n’est pas un modèle de sécurité. Il a été attaqué par l’équipe 360Vulcan, issue de l’entreprise chinoise Qihoo 360, ce qui nous démontre encore ses nombreuses vulnérabilités.

L’attaque utilise une faille du logiciel qui a permis de diffuser des lignes de commande à distance et une de Windows qui lui a permis de toucher le kernel et obtenir ainsi les fameux droits administrateur, cette équipe a reçu 80 000 dollars (dont 60 000 pour Flash et 20 000 pour Windows)

Pour Safari, les droits administrateur ont pu être accessibles grâce à un hack sur le navigateur. C’est le chercheur coréen JungHoon qui a été primé et qui a gagné 60 000 dollars. La semaine prochaine, il fera deux autres attaques contre le navigateur Edge de Microsoft mais aussi Chrome.

Pour le navigateur de Google justement, la manœuvre a visiblement été plus complexe puisqu’elle a exploité quatre brèches : deux dans Flash Player, une au sein du kernel de Windows et une au sein du navigateur en lui-même. Néanmoins, ils n’ont obtenu que la moitié des gains prévus, soit 52 000 dollars car la faille avait été préalablement signalé à la firme de Mountain View.

   Suivez nous sur Facebook   


Vous aimerez peut être


Réagir à cet article

  • p3rn3l

    White hat pas white hacker