La sécurité est un combat permanent à mener, même lorsque l’on s’appelle Google. Le géant de Mountain View a pu s’en rendre compte mercredi lors de la compétition Pwn2Own, qui se déroule actuellement à Vancouver pendant la conférence CanSecWest. Son navigateur maison, Google Chrome, a en effet cédé au bout de cinq minutes sous les assauts de Vupen Security.
Selon les explications qui ont été livrées par le groupe, leur méthode a consisté à contourner d’une part les sécurités Data Execution Prevention (DEP) et Address Space Layout Randomization (ASLR) et d’autre part à s’échapper du bac à sable (sandbox) qui a pour mission d’empêcher l’installation de logiciels malveillants sur l’ordinateur ou toute interaction entre les différents onglets du navigateur.
Cet exploit va permettre à Vupen Security de toucher une partie du million de dollars que Google a mobilisé dans le cadre de la compétition Pwn2Own. La société californienne a en effet voulu motiver les hackers pour qu’ils s’efforcent de casser les protections de Google Chrome. Selon la gravité de la faille repérée, trois niveaux de récompense ont été décidés : 20 000 dollars, 40 000 dollars et 60 000 dollars.
Si Google Chrome a cédé le premier lors du concours, les autres navigateurs web n’ont pas forcément fait beaucoup mieux. Vupen Security affirme avoir aussi mis à terre les trois autres logiciels engagés dans la compétition, à savoir Internet Explorer de Microsoft, Firefox de Mozilla et Safari d’Apple. Le groupe ne précise pas si la méthode employée a été rapide à découvrir et à mettre en œuvre.
Les failles découvertes lors du Pwn2Own sont très précieuses pour les éditeurs. Ces derniers peuvent en effet se mettre au travail pour les colmater et renforcer un peu plus la sécurité de leur produit.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Marre des réseaux sociaux ? Rejoignez-nous sur WhatsApp !