Organisé chaque année, le concours Pwn2Own met à l'épreuve la sécurité des navigateurs web. Cette année, la compétition a démarré sur les chapeaux de roues puisque des vulnérabilités ont été révélées dans les trois principaux logiciels du marché, à savoir Internet Explorer, Google Chrome et Mozilla Firefox. Cette compétition a également permis de mettre au jour de nouvelles failles dans Windows et Java.
Comme l'an passé, les hackers ont contourné les dispositifs de protection Data Execution Prevention (DEP) et Address Space Layout Randomization (ASLR) et à sortir du bac à sable (sandbox), dont le rôle est de pouvoir tester et exécuter des programmes sans compromettre la sécurité du système. Les employés des sociétés de sécurité Vupen et MWR Labs se sont particulièrement distingués à cette occasion.
ALL our 0days & techniques used at #Pwn2own have been reported to affected software vendors to allow them issue patches and protect users
— VUPEN Security (@VUPEN) 7 mars 2013
Ce concours est primordial pour les éditeurs, car il leur permet de repérer des défaillances en toute sécurité. En effet, les méthodes présentées pendant Pwn2Own sont ensuite transmises aux développeurs des programmes concernés, qui élaborent ensuite des correctifs. C'est le cas de Mozilla par exemple, qui a publié dans les 24 heures un patch pour combler une faille zero day.
Les techniques utilisées ne sont jamais détaillées publiquement, du moins tant qu'aucune mise à jour n'a été déployée. Cette précaution vise à éviter qu'elles soient mises en oeuvre par des personnes mal intentionnées. Cependant, la solidité croissante des logiciels nécessite d'utiliser des méthodes de plus en plus élaborées, qui sont heureusement hors de portée du premier quidam venu.
La compétition Pwn2Own est très courue. Les participants ont en effet l'occasion de gagner en notoriété en mettant au sol quelques-uns des logiciels les plus utilisés au monde. En outre, ils peuvent aussi remporter des prix de grande valeur, dont les montants peuvent atteindre 100 000 dollars. Et ceux-ci peuvent être cumulés si plusieurs vulnérabilités sont rapportées pendant le concours.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !