Chrome, Safari et Edge sont truffés de failles 0-Day et faciles à pirater

Chrome, Edge et Safari étaient la cible de hackers lors de la Tianfu Cup, une compétition de pirates chinois. Résultat ? La dernière version stable de Microsoft Edge a très vite sombré, tout comme Chrome et Safari, qui a tout de même donné un peu plus de fil à retordre aux pirates. La faute à la découverte de nouvelles failles 0-Day.

Chrome, Safari, et Edge sont truffés de failles 0-Day – autrement dit de failles de sécurité critiques qui n'ont pas été encore documentées. Et ces failles sont relativement simples à exploiter. C'est en tout cas la conclusion que l'on tire du premier jour de la Tianfu Cup, une compétition de pirates – pendant chinois du célèbre Pwn2Own. Il faut dire que principe de ce hackfest qui rassemble la crème des experts en sécurité chinois vise justement à dénicher des failles 0-Day dans des programmes et équipements. Pour chaque faille découverte, les équipes gagnent l'équivalent de centaines de milliers d'euros et renforcent au passage leur réputation.

Le premier jour, donc, les dernières versions stables de Chrome, Edge et Safari sont toutes tombées sous les commandes et autres payloads des hackers. Le premier à tomber était sans réelle surprise Microsoft Edge, navigateur dont le moteur va prochainement passer à Chromium. Trois exploits ont fonctionné dès le premier jour, ce qui n'est pas vraiment très glorieux. Néanmoins, Edge s'apprête à faire sa mue, en changeant notamment de moteur de rendu HTML pour passer de EdgeHTML à une version personnalisée de Chromium – le moteur de Chrome. Néanmoins le passage à Chromium n'est pas un gage absolu de sécurité.

Car Chrome, justement, n'a pas résisté beaucoup plus longtemps à l'action des pirates en compétition – deux attaques ont pu être menées avec succès. Le navigateur des Macs et des iPhone, Safari, a un peu mieux résisté, mais une attaque a tout de même réussi, ce qui montre qu'avec suffisamment de détermination et des compétences, la sécurité de ces navigateur peut être compromise de façon relativement triviale. Or ce qui est inquiétant n'est pas seulement que ces navigateurs soient relativement faciles à pirater. C'est que la découverte de ces exploits est passée inaperçue des acteurs concernés puisque ni Google, Apple ou Microsoft n'étaient présents à l'événement.

Lire également : Chrome – 2 failles mettent votre PC en danger, installez vite la dernière mise à jour

Contrairement d'ailleurs à d'autres compétitions de ce type comme le Pwn2Own. Du coup, pour l'heure, les failles découvertes par ces hackers ne sont pas patchées, et restent potentiellement exploitables, pour peu d'en connaitre les détails. Au deuxième jour de l'événement, d'autres programmes et équipements sont tombés, en particulier le routeur D-Link DIR-878 (quatre attaques couronnées de succès), le lecteur Adobe PDF Reader (deux attaques réussies) et VMWare Workstation (une attaque réussie).

Source : Techradar