Concours Pwn2own : représentativité ou farce médiatique ?

Retour sur la cinquième édition du concours de hacking Pwn2own qui a eu lieu la semaine dernière.

Si l'on s'intéresse un peu au sujet, ou si on est abonné à des alertes sur le sujet, on ne peut pas avoir manqué cet évènement. Les premiers gros titres étaient du genre : "Concours Pwn2own : Internet Explorer et Safari vaincus, Chrome gagne par forfait". Puis le lendemain, "L’iPhone 4 n’a pas résisté aux hackers du Pwn2Own".

Au premier regard, Internet Explorer 8 et Safari 5 sont des navigateurs non sécurisés, contrairement à Chrome et Firefox qui sont inviolables.

Le problème, est que si l'on lit entre les lignes, Internet Explorer n'a pas reçu la dernière mise à jour disponible, contrairement aux autres navigateurs.

Pour Safari, la team Vupen (société française) a simplement dirigé Safari sur un site contenant un code malicieux qu'elle avait préparé, qui a exploité une vulnérabilité de Webkit. Une faille qui avait été corrigée hier par Apple, mais le patch est arrivé trop tard pour être intégré au browser avant la compétition. Il faut savoir que Webkit est également utilisé pour Google Chrome...

Pour Chrome, le navigateur a une fois encore gagné par forfait, personne n'a souhaiter s'y attaquer... il y a une différence de taille entre personne n'y arrive et personne n'essaye. Surtout que le navigateur a reçu une mise à jour de dernière minute (comportant 19 failles colmatées).

Enfin, pour FireFox, même combat que pour Chrome, mise à jour de dernière minute et désistement du hacker.

Il reste donc difficile de statuer sur la réelle sécurité ou vulnérabilité de tel ou tel navigateur, tant les cartes semblent tronquées, voir truquées.

Le cas des smartphones

De multiples vulnérabilités de WebKit ont en revanche fait plier le BlackBerry Torch 9800 (OS 6.0.0.246) et une faille dans MobileSafari a été fatale à l'iPhone 4 (iOS 4.2.1 ).

Là encore, Windows Phone 7 et Android ont ainsi vaincu « par forfait » : les hackers qui devaient s’en charger se sont tout simplement désistés. Il faut comme même savoir que le hacker inscrit pour attaquer le smartphone équipé avec Android a informé directement Google sur la faille qu'il comptait exploiter pour le concours... faille basique (de type XSS), donc d'autant plus inquiétante, corrigée juste avant le concours. C'est facile de gagner dans ces conditions !!

Le cas des smartphones semble plus inquiétant, les failles exploitées sont réelles et pas forcément comblées (voir l'article La vulnérabilité de l'IPhone due aux mises à jour impossibles).

Pour conclure, je trouve que ce type de concours, avec les inégalités flagrantes de traitement entre les différents concurrents, n'est pas représentatif de la sécurité de tel ou tel appareil ou logiciel. La meilleure des sécurités reste la prudence de l'utilisateur.

Pour en savoir plus :

Réactions...

pyfux le :

Bonjour,

Ce concours est très bizarre d'autant plus lorsque le hacker contact l'éditeur et préfère se retirer du concours après lui avoir présenté une faille exploitable...

Ce qu'il faut retenir c'est que tous les navigateurs présentent des failles de sécurité. Ces failles évoluent très rapidement dans le temps et l'utilisateur doit donc se soucier de mettre à jour très régulièrement son butineur.

Mais je suis optimiste, bientôt avec le cloud, puisque nos données seront sur des serveurs nous n'aurons plus de données en local à protéger! Donc plus besoin d'avoir un navigateur sécurisé! ;))
Il faudra juste penser à sécuriser les serveurs du cloud et les accès! C'est un challenge qui me semble assez difficile à relever et les entreprises ne vont pas confier très facilement leurs données stratégiques quelque soit l'engagement contractuel.

Mais je me trompe peut-être, en 2000 je ne croyais pas aux développement d'applications en mode web...

Webmaster le :

Détrompez-vous, il faudra toujours un navigateur sécurisé pour qu'il n'y ai pas de risque de piratage en ligne de vos données lors de votre navigation sur le site hébergeant vos données.
De même, il faudra toujours un anti-virus pour éviter de se retrouver avec un petit espion qui pourrait enregistrer toutes vos actions sur le clavier avant de les retourner à son maître...
Mais n'oubliez pas que la meilleure sécurité, c'est votre comportement vis à vis des sites et mails douteux. Gardez l'oeil ouvert !!
Réagissez en laissant votre commentaire !

Les derniers produits des risques professionnels

Réagissez en laissant votre commentaire !