Pwn2Own : Chrome cracké en 5 minutes
vendredi 9 mars 2012 à 01:50 Au cours du concours annuel , une équipe de hackers français de Vupen s'est distinguée en prenant le contrôle d'un ordinateur tournant sous Windows 7 64 bits, via le navigateur web Google Chrome.
Google utilise pour protéger son navigateur une sandbox (un mécanisme qui permet l'exécution de logiciel(s) avec moins de risques pour le système d'exploitation), ce qui complexifie les possibles attaques de pirates.
C'est pourquoi, le navigateur avait été épargné jusqu'à aujourd'hui lors de ce type de concours.
Cependant, la mise en place d'une grosse récompense de 60.000 dollars pour la découverte d'une faille dans le logiciel et de 40.000 supplémentaires dans le cas où 2 failles de sécurité sont utilisées a permis de susciter l'intérêt des experts en sécurité.
Ainsi, l'équipe française VUPEN a réussi le hacking de Chrome en quelques minutes via deux vulnérabilités de type .
Il faut cependant nuancer la nouvelle. En effet, l'équipe avait eu besoin de près de 6 semaines afin d'identifier les failles pour les utiliser lors du concours.
L'équipe de VUPEN avait affirmé avoir découvert une faille dans la sandbox de google chrome bien qu'il s'agisse apparemment selon Google d'une vulnérabilité présente dans le code du plugin Flash Player intégré à Google Chrome.
Un autre hacker, Sergey Glazunov a lui aussi réussi à rompre les barrières de sécurité de Google Chrome. Il a d'ailleurs été félicité pour cet exploit par Sundar Pichai, vice-président de Google en charge de Chrome.
Bien entendu, Google annonce la sortie prochaine d'une mise à jour automatique de son navigateur permettant de combler ces failles.
Vidéo présentant l'attaque du navigateur Google Chrome par l'équipe de VUPEN :
En effet, l'équipe de Vupen a également relevé des failles pour les navigateurs Safari, Internet Explorer et Firefox.
Sources :
Google Chrome a fini par tomber. Mais comment ?
C'est pourquoi, le navigateur avait été épargné jusqu'à aujourd'hui lors de ce type de concours.
Cependant, la mise en place d'une grosse récompense de 60.000 dollars pour la découverte d'une faille dans le logiciel et de 40.000 supplémentaires dans le cas où 2 failles de sécurité sont utilisées a permis de susciter l'intérêt des experts en sécurité.
Ainsi, l'équipe française VUPEN a réussi le hacking de Chrome en quelques minutes via deux vulnérabilités de type .
Il faut cependant nuancer la nouvelle. En effet, l'équipe avait eu besoin de près de 6 semaines afin d'identifier les failles pour les utiliser lors du concours.
L'équipe de VUPEN avait affirmé avoir découvert une faille dans la sandbox de google chrome bien qu'il s'agisse apparemment selon Google d'une vulnérabilité présente dans le code du plugin Flash Player intégré à Google Chrome.
Un autre hacker, Sergey Glazunov a lui aussi réussi à rompre les barrières de sécurité de Google Chrome. Il a d'ailleurs été félicité pour cet exploit par Sundar Pichai, vice-président de Google en charge de Chrome.
Bien entendu, Google annonce la sortie prochaine d'une mise à jour automatique de son navigateur permettant de combler ces failles.
Vidéo présentant l'attaque du navigateur Google Chrome par l'équipe de VUPEN :
Les autres navigateurs ne sont pas épargnés
Google Chrome n'est pas le seul navigateur présentant des failles de sécurité. Il est d'ailleurs considéré comme l'un des plus sûrs.En effet, l'équipe de Vupen a également relevé des failles pour les navigateurs Safari, Internet Explorer et Firefox.
Conclusion
A mon avis, Chrome reste le plus sûr vu le peu de tentatives à son encontre et le temps de préparation qui a été nécessaire pour identifier ces failles.Sources :
- [/puce][puce]
- [/puce][puce]