Du 16 au 20 mars 2009 va se tenir à Vancouver au Canada, la conférence mondiale sur la sécurité informatique, CanSecWest. Un peu en marge de cette manifestation, va se dérouler une nouvelle fois un concours de hacking sous l'égide de la société TippingPoint, filiale de 3Com.
L'année dernière, ce concours baptisé Pwn2Own avait vu passer sur le gril trois systèmes d'exploitation : Windows Vista Ultimate SP1, Mac OS X 10.5.2 Leopard et Ubuntu 7.10, tous trois équipant une machine spécifique dont un MacBook Air pour l'OS d'Apple. Après assouplissement des règles du concours, c'est d'ailleurs cette dernière qui avait fini par rendre les armes en premier.
En seulement deux minutes, Charlie Miller avait réussi à prendre son contrôle en exploitant un bug dans Safari (présent par défaut), empochant au passage la somme rondelette de 10 000 dollars ainsi que le MacBook Air. L'ordinateur sous Windows Vista avait suivi après installation autorisée de logiciels tiers et la présence d'une faille dans Flash Player. Une petite polémique était toutefois née face au manque d'envie des participants aux concours d'éprouver la distribution Linux.
Les navigateurs sur la sellette Windows 7
Cette année, le concours Pwn2Own sera consacré aux navigateurs Web et en l'occurrence Internet Explorer 8, Firefox, Safari et Opera. Les modalités du concours ne sont pas encore connues (comme toutes les versions des fureteurs d'ailleurs), mais il est probable qu'il s'agira d'exploiter une vulnérabilité 0-day afin de prendre le contrôle total d'une machine. Le champ d'expérimentation est justement connu : un notebook Sony VAIO P fonctionnant sous Windows 7. On sent déjà poindre une nouvelle polémique avec du côté de Microsoft, tant un navigateur qu'un OS qui ne sont pas disponibles dans leur version finale.
Une petite originalité cette année sera aussi qu'il n'y aura en réalité pas un mais deux concours, puisque des systèmes d'exploitation dans le domaine du mobile devront également subir des attaques : Android, iPhone, Symbian, Windows Mobile, RIM.
A l'issue du concours, les vulnérabilités 0-day découvertes et exploitées ne sont pas lâchées dans la nature et sont portées en toute discrétion à la connaissance des éditeurs concernés.
Publié le
par Bruno C.
Créateur et rédacteur en chef du site GNT
Sur le même sujet
Cette page peut contenir des liens affiliés. Si vous achetez un produit depuis ces liens, le site marchand nous reversera une commission sans que cela n'impacte en rien le montant de votre achat. En savoir plus.