La conférence CanSecWest est l'occasion du fameux concours primé Pwn2Own, qui a notamment couronné Charlie Miller depuis plusieurs années. Celui-ci ne participera pourtant pas à l'édition 2012, suite à un changement de règles qui le met selon lui hors concours.
Ce changement répond à un problème que Charlie Miller a pu lui-même trouver frustrant : l'ordre des tentatives était jusqu'ici tiré au sort, et pouvait donc laisser pour compte de jolies prouesses, puisque le premier à faire tomber une machine était considéré gagnant.
Pour y remédier le concours Pwn2Own se fait désormais sans filet : les participants doivent venir les mains vides et coder sur place leurs hacks, alors qu'ils pouvaient auparavant amener leurs développement réalisés au préalable. Ainsi, le premier à hacker une machine dans cette course au développement gagne. Charlie Miller considère que cela favorise des équipes de développeurs plutôt que ceux qui participent seuls.
Précisément, c'est l'équipe française Vupen Security qui a remporté la mise, et de belle façon : elle a mis à mal l'image d'invulnérabilité de Chrome, seul navigateur à avoir résisté aux attaques l'an dernier. Il a suffi de pointer Chrome sur une page contenant du code malveillant pour que l'ordinateur lance spontanément la calculette de Windows. L'équipe a utilisé deux failles "zero-day" (des failles qu'elle est la première à avoir identifiées et exploitées). Vupen Security compte conserver la primeur de celle qui lui a permis de contourner le bac à sable de Chrome : la société commercialise ses trouvailles à des clients gouvernementaux, ce qui soulève quelque controverse dans la communauté des experts en sécurité.
Mais Chrome s'est également soumis aux imprécations du russe Sergey Glazunov lors d'un autre concours du CanSecWest, cette fois organisé par Google elle-même : Pwnium. Google a en effet décidé de se retirer du concours Pwn2Own, qui n'exige plus la révélation des failles exploitées par les hackers comme Vupen. Pwnium se consacre exclusivement à Chrome, chaque faille utilisée est récompensée, et le vainqueur a gagné les 60 000 $ mis en jeux. Là aussi il a tiré parti de deux failles zero-day, et Google a admis sa défaite avec tout le fair-play de circonstance. Justin Schuh, responsable de la sécurité de Chrome, a admiré la prouesse comme il se doit : « L'exploit était impressionnant. Il exigeait une profonde compréhension de la manière dont Chrome fonctionne. Ça n'est pas une mince affaire à réaliser. C'est très difficile et c'est pourquoi nous le récompensons avec 60 000 $ ».
Naturellement Google se fait fort de fournir une correction des failles concernées au plus vite, du moins pour celles qui lui auront été dévoilées.
Ce changement répond à un problème que Charlie Miller a pu lui-même trouver frustrant : l'ordre des tentatives était jusqu'ici tiré au sort, et pouvait donc laisser pour compte de jolies prouesses, puisque le premier à faire tomber une machine était considéré gagnant.
Pour y remédier le concours Pwn2Own se fait désormais sans filet : les participants doivent venir les mains vides et coder sur place leurs hacks, alors qu'ils pouvaient auparavant amener leurs développement réalisés au préalable. Ainsi, le premier à hacker une machine dans cette course au développement gagne. Charlie Miller considère que cela favorise des équipes de développeurs plutôt que ceux qui participent seuls.
Précisément, c'est l'équipe française Vupen Security qui a remporté la mise, et de belle façon : elle a mis à mal l'image d'invulnérabilité de Chrome, seul navigateur à avoir résisté aux attaques l'an dernier. Il a suffi de pointer Chrome sur une page contenant du code malveillant pour que l'ordinateur lance spontanément la calculette de Windows. L'équipe a utilisé deux failles "zero-day" (des failles qu'elle est la première à avoir identifiées et exploitées). Vupen Security compte conserver la primeur de celle qui lui a permis de contourner le bac à sable de Chrome : la société commercialise ses trouvailles à des clients gouvernementaux, ce qui soulève quelque controverse dans la communauté des experts en sécurité.
Mais Chrome s'est également soumis aux imprécations du russe Sergey Glazunov lors d'un autre concours du CanSecWest, cette fois organisé par Google elle-même : Pwnium. Google a en effet décidé de se retirer du concours Pwn2Own, qui n'exige plus la révélation des failles exploitées par les hackers comme Vupen. Pwnium se consacre exclusivement à Chrome, chaque faille utilisée est récompensée, et le vainqueur a gagné les 60 000 $ mis en jeux. Là aussi il a tiré parti de deux failles zero-day, et Google a admis sa défaite avec tout le fair-play de circonstance. Justin Schuh, responsable de la sécurité de Chrome, a admiré la prouesse comme il se doit : « L'exploit était impressionnant. Il exigeait une profonde compréhension de la manière dont Chrome fonctionne. Ça n'est pas une mince affaire à réaliser. C'est très difficile et c'est pourquoi nous le récompensons avec 60 000 $ ».
Naturellement Google se fait fort de fournir une correction des failles concernées au plus vite, du moins pour celles qui lui auront été dévoilées.
