Février 2012
Pwn2Own 2011 : Apple, victime de son succès ?
par Christophe Laporte le 14.03.2011 à 15:43
Pendant trois jours, les hackers et chercheurs en sécurité se sont succédé pour faire tomber les principaux navigateurs web du marché sur les principaux ordinateurs et smartphones. Le bilan n'est pas flatteur pour Apple à première vue : Safari sur Mac est tombé dès le premier jour et Safari Mobile a connu les mêmes déboires le lendemain..
En ce qui concerne Safari pour Mac, c'est une société française, Vupen Security, qui est parvenu à exploiter en premier une faille inconnue de Webkit et a raflé la mise et empoché au passage 15 000 $ ainsi qu'un MacBook Air. En conduisant l'utilisateur sur un site spécifique elle a réussi à déclencher en retour et, sans autre intervention de la personne, à lancer l'utilitaire Calculette et à écrire un fichier sur le disque dur de la machine. Le tout sans faire planter Safari. Entre dénicher la faille et se doter des moyens de l'utiliser, il a fallu une quinzaine de jours à l'équipe de Chaouki Bekrar pour parvenir à ses fins (lire : CanSecWest : Safari tombe sur une faille de sécurité WebKit).
De leur côté, Charlie Miller et Dion Blazakis ont réussi à exploiter une faille présente dans Safari Mobile. Les deux chercheurs sont parvenus à récupérer des données stockées sur un iPhone 4, sans que cela ne nécessite d'interaction (ou peu) de la part du propriétaire du téléphone (lire : Pwn2Own 2011 : l'iPhone et un BlackBerry sont tombés).
Mais de l'aveu même de Charlie Miller, cela a été plus compliqué que les autres années. Il a fallu aux deux chercheurs des mois de travail et le hack ne fut finalisé qu'à la veille du concours, alors que durant les années précédentes, Miller avait préparé son coup longtemps à l'avance. De là à dire que tant bien que mal, Apple progresse sur le front de la sécurité, il n'y a qu'un pas.
Il peut d'ailleurs remercier Apple d'avoir proposé au téléchargement iOS 4.3 si tardivement. En effet, la dernière version du système d'Apple apporte la distribution aléatoire de l'espace d'adressage, un mécanisme visant à renforcer la sécurité des terminaux d'Apple. Si ce mécanisme n'annihile pas la faille, il complique sérieusement sa mise en oeuvre selon Charlie Miller.
Le solutions d'Apple ne sont pas les seules à avoir été prises à défaut, Internet Explorer 8 et Blackberry Torch 9800 ont également cédé aux assauts des chercheurs en sécurité. Chrome, Firefox, et les téléphones sous Android et Windows Mobile sortent indemnes de ce concours, mais on peut se demander si les personnes participant à ce concours ne se sont pas dirigées vers les solutions les plus en vue afin de se faire remarquer. En effet, durant ces trois jours, personne n'a essayé de s'attaquer à ces trois systèmes. Les personnes qui avaient prévu de les mettre à l'épreuve se sont désistées pour différentes raisons. De là à dire que les chercheurs en sécurité tout comme les auteurs de virus et autres malwares sélectionnent leurs plates-formes…
En ce qui concerne Safari pour Mac, c'est une société française, Vupen Security, qui est parvenu à exploiter en premier une faille inconnue de Webkit et a raflé la mise et empoché au passage 15 000 $ ainsi qu'un MacBook Air. En conduisant l'utilisateur sur un site spécifique elle a réussi à déclencher en retour et, sans autre intervention de la personne, à lancer l'utilitaire Calculette et à écrire un fichier sur le disque dur de la machine. Le tout sans faire planter Safari. Entre dénicher la faille et se doter des moyens de l'utiliser, il a fallu une quinzaine de jours à l'équipe de Chaouki Bekrar pour parvenir à ses fins (lire : CanSecWest : Safari tombe sur une faille de sécurité WebKit).
De leur côté, Charlie Miller et Dion Blazakis ont réussi à exploiter une faille présente dans Safari Mobile. Les deux chercheurs sont parvenus à récupérer des données stockées sur un iPhone 4, sans que cela ne nécessite d'interaction (ou peu) de la part du propriétaire du téléphone (lire : Pwn2Own 2011 : l'iPhone et un BlackBerry sont tombés).
Mais de l'aveu même de Charlie Miller, cela a été plus compliqué que les autres années. Il a fallu aux deux chercheurs des mois de travail et le hack ne fut finalisé qu'à la veille du concours, alors que durant les années précédentes, Miller avait préparé son coup longtemps à l'avance. De là à dire que tant bien que mal, Apple progresse sur le front de la sécurité, il n'y a qu'un pas.
Il peut d'ailleurs remercier Apple d'avoir proposé au téléchargement iOS 4.3 si tardivement. En effet, la dernière version du système d'Apple apporte la distribution aléatoire de l'espace d'adressage, un mécanisme visant à renforcer la sécurité des terminaux d'Apple. Si ce mécanisme n'annihile pas la faille, il complique sérieusement sa mise en oeuvre selon Charlie Miller.
Le solutions d'Apple ne sont pas les seules à avoir été prises à défaut, Internet Explorer 8 et Blackberry Torch 9800 ont également cédé aux assauts des chercheurs en sécurité. Chrome, Firefox, et les téléphones sous Android et Windows Mobile sortent indemnes de ce concours, mais on peut se demander si les personnes participant à ce concours ne se sont pas dirigées vers les solutions les plus en vue afin de se faire remarquer. En effet, durant ces trois jours, personne n'a essayé de s'attaquer à ces trois systèmes. Les personnes qui avaient prévu de les mettre à l'épreuve se sont désistées pour différentes raisons. De là à dire que les chercheurs en sécurité tout comme les auteurs de virus et autres malwares sélectionnent leurs plates-formes…
|
3
2
1
Vos réactions (39 réactions)
osidrys
[14/03/2011 16:00]
Tombé le premier jour mais il a fallu des mois de travail ... Est ce une façon sérieuse de présenter de l'info ? Soyez précis et plus explicite. Et surtout, plus de neutralité : insinuer un parti pris des chercheurs en interprétant leur désistement face à Google et Microsoft n'est pas très neutre comme ton journalistique. Les faits, c'est bien ; se féliciter qu'Apple avance sur les questions de sécurité aussi mais pour le reste ... Je suis déçu de la qualité de l'article mais l'info centrale est intéressante alors c'est dommage. Ce sera mieux pour la prochaine ;)
Sinon, pour les éventuels "Ben t'as qu'à pas lire l'article si t'es pas content." je dirai "Ben t'as qu'à essayer d'être un plus ouvert si t'es pour contre la violence et la misère dans le monde.".
Tombé le premier jour mais il a fallu des mois de travail ... Est ce une façon sérieuse de présenter de l'info ? Soyez précis et plus explicite. Et surtout, plus de neutralité : insinuer un parti pris des chercheurs en interprétant leur désistement face à Google et Microsoft n'est pas très neutre comme ton journalistique. Les faits, c'est bien ; se féliciter qu'Apple avance sur les questions de sécurité aussi mais pour le reste ... Je suis déçu de la qualité de l'article mais l'info centrale est intéressante alors c'est dommage. Ce sera mieux pour la prochaine ;)
Sinon, pour les éventuels "Ben t'as qu'à pas lire l'article si t'es pas content." je dirai "Ben t'as qu'à essayer d'être un plus ouvert si t'es pour contre la violence et la misère dans le monde.".
Toximityx
[14/03/2011 16:06]
test (a effacer)
test (a effacer)
pepes003
[14/03/2011 16:08]
Mais puisqu'on vous dit que OS X est le plus sûre de tous les OS et qu'il n'y a aucun rapport entre le fait qu'Apple représente de 2 à 5% du parc informatique mondial et qu'il y a peu de virus répertorié sur cet OS.
Moi, ce qui m'a séduit dans Snow Leo c'est son usage au quotidien et aucunement la propagande du "OS le plus sûre, c'est pas comme cette passoire de Windows" (discours vu et revu sur les fofo des futurs switcheurs (ce doivent être des anciens utilisateurs de Windows XP trouvé sur la mule))
Quelque soit les qualités intrinsèques d'un soft, si un comité de hackeurs/pirates se penchent dessus, ça casse.
Et c'est exponentiel, plus y a/aura de ce genre de "comité" et plus des failles seront découvertes. (et on revient à ma première phrase)
Mais puisqu'on vous dit que OS X est le plus sûre de tous les OS et qu'il n'y a aucun rapport entre le fait qu'Apple représente de 2 à 5% du parc informatique mondial et qu'il y a peu de virus répertorié sur cet OS.
Moi, ce qui m'a séduit dans Snow Leo c'est son usage au quotidien et aucunement la propagande du "OS le plus sûre, c'est pas comme cette passoire de Windows" (discours vu et revu sur les fofo des futurs switcheurs (ce doivent être des anciens utilisateurs de Windows XP trouvé sur la mule))
Quelque soit les qualités intrinsèques d'un soft, si un comité de hackeurs/pirates se penchent dessus, ça casse.
Et c'est exponentiel, plus y a/aura de ce genre de "comité" et plus des failles seront découvertes. (et on revient à ma première phrase)
mathiouz
[14/03/2011 16:08]
Quand on cherche , on trouve. c'est normal et c'est tout le problème. aucun système n'est inviolable on le sait. Alors pourquoi enfoncer des portes ouvertes ?
Peut-on penser que ce genre de concours est encouragé par des éditeurs d'antivirus ? d'autant que finalement, ils récompensent des actes et des précédés illégaux. Imaginez ça dans le domaine pharmaceutique : j'invente un virus contre lequel le corps humain n'a aucune défense, puis son vaccin et je le vend à bon prix...quoi c'est déjà le cas ?!!!
Quand on cherche , on trouve. c'est normal et c'est tout le problème. aucun système n'est inviolable on le sait. Alors pourquoi enfoncer des portes ouvertes ?
Peut-on penser que ce genre de concours est encouragé par des éditeurs d'antivirus ? d'autant que finalement, ils récompensent des actes et des précédés illégaux. Imaginez ça dans le domaine pharmaceutique : j'invente un virus contre lequel le corps humain n'a aucune défense, puis son vaccin et je le vend à bon prix...quoi c'est déjà le cas ?!!!
jodido
[14/03/2011 16:10]
@osidrys:
Enfin en même temps on s'en tape un peu aux dernières nouvelles personnes n'utilisent les failles iOs à grande ampleur à des fins malhonnêtes.
@osidrys:
Enfin en même temps on s'en tape un peu aux dernières nouvelles personnes n'utilisent les failles iOs à grande ampleur à des fins malhonnêtes.
lord danone
[14/03/2011 16:14]
Euh, journalistiquement, presenter un fait comme il est arrivé me parait une bonne chose... Si Safari est tombé le premier jour mais qu'il a fallu des mois de travail pour trouver la faille, je ne vois pas quelle phrase résumerait mieux ce fait que "Safari est tombé le premier jour mais il a fallu des mois de travail pour trouver la faille"...
Et bien sur qu'il y a parti pris vu que personne n'a essayé de craquer les navigateurs des autres OS alors qu'il existe necessairement des failles sur ces autres OS... C'est de la pure logique "sémantique" qui n'a aucun rapport avec le fait que Safari est plus ou moins sécurisé qu'un autre navigateur
Euh, journalistiquement, presenter un fait comme il est arrivé me parait une bonne chose... Si Safari est tombé le premier jour mais qu'il a fallu des mois de travail pour trouver la faille, je ne vois pas quelle phrase résumerait mieux ce fait que "Safari est tombé le premier jour mais il a fallu des mois de travail pour trouver la faille"...
Et bien sur qu'il y a parti pris vu que personne n'a essayé de craquer les navigateurs des autres OS alors qu'il existe necessairement des failles sur ces autres OS... C'est de la pure logique "sémantique" qui n'a aucun rapport avec le fait que Safari est plus ou moins sécurisé qu'un autre navigateur
grogeek
[14/03/2011 16:25]
@lordanone
Dans le cas de OSX, ce ne sont pas des mois comme tu sembles le dire:
"il a fallu une quinzaine de jours à l'équipe"
@lordanone
Dans le cas de OSX, ce ne sont pas des mois comme tu sembles le dire:
"il a fallu une quinzaine de jours à l'équipe"
sebastiano
[14/03/2011 16:28]
@lord danone : oui mais la tournure est de nature à induire en erreur, le commun des utilisateurs lambda pensera que craquer Safari prend 1 jour.
De plus, je trouve cette phrase plutôt débile. Le type a préparé l'attaque des mois à l'avance. Une fois le programme préparé, il n'y a plus qu'à l'exécuter. Donc "tombé dès le premier jour", quel intérêt sinon une formulation trompeuse ?
Et s'ils avaient décidé de lancer leur attaque au 3e jour, ils auraient titré "Safari tombe le dernier jour" ? Ca m'étonnerait.
C'est très facile de jouer avec les mots pour induire en erreur. Un peu comme Apple le fait à travers certaines annonces.
Mais il est de notoriété publique que seule Apple est malhonnête, les autres ne le sont pas, à plus forte raison quand il s'agit de chier sur ... Apple.
@lord danone : oui mais la tournure est de nature à induire en erreur, le commun des utilisateurs lambda pensera que craquer Safari prend 1 jour.
De plus, je trouve cette phrase plutôt débile. Le type a préparé l'attaque des mois à l'avance. Une fois le programme préparé, il n'y a plus qu'à l'exécuter. Donc "tombé dès le premier jour", quel intérêt sinon une formulation trompeuse ?
Et s'ils avaient décidé de lancer leur attaque au 3e jour, ils auraient titré "Safari tombe le dernier jour" ? Ca m'étonnerait.
C'est très facile de jouer avec les mots pour induire en erreur. Un peu comme Apple le fait à travers certaines annonces.
Mais il est de notoriété publique que seule Apple est malhonnête, les autres ne le sont pas, à plus forte raison quand il s'agit de chier sur ... Apple.
tempest
[14/03/2011 16:38]
Moi ce qui me choque le plus c'est cette phrase :
"Les personnes qui avaient prévu de les mettre à l'épreuve se sont désistées pour différentes raisons."
Peut-on imaginer que ces compagnies ont fait en sorte de ne pas être "attaquées ?
Moyennant finance…?
Pas mal comme deal nous on passe pour imprenables et Apple devient la passoire… Pas con comme choix marketing de la part de la concurrence…
Enfin je dis ça je dis rien.
Moi ce qui me choque le plus c'est cette phrase :
"Les personnes qui avaient prévu de les mettre à l'épreuve se sont désistées pour différentes raisons."
Peut-on imaginer que ces compagnies ont fait en sorte de ne pas être "attaquées ?
Moyennant finance…?
Pas mal comme deal nous on passe pour imprenables et Apple devient la passoire… Pas con comme choix marketing de la part de la concurrence…
Enfin je dis ça je dis rien.
dariolym
[14/03/2011 16:56]
@ Mathiouz > "maginez ça dans le domaine pharmaceutique : j'invente un virus contre lequel le corps humain n'a aucune défense, puis son vaccin et je le vend à bon prix...quoi c'est déjà le cas ?!!!"
encore une petite partie de DeusEx ? ;)
Sinon, concernant la news, ben, c'est le principe de base du "qui cherche trouve" :/
@ Mathiouz > "maginez ça dans le domaine pharmaceutique : j'invente un virus contre lequel le corps humain n'a aucune défense, puis son vaccin et je le vend à bon prix...quoi c'est déjà le cas ?!!!"
encore une petite partie de DeusEx ? ;)
Sinon, concernant la news, ben, c'est le principe de base du "qui cherche trouve" :/
osidrys
[14/03/2011 17:09]
@jodido
Tout à fait d'accord. Je ne voulais pas dire le contraire d'ailleurs. La question de la sécurité repose toujours sur les mêmes paramètres pour les systèmes modernes : l'utilisateur et l'importance des données. Enregistrer des données importantes sans faire attention à leur protection, enregistrer ses mots de passe, ... beaucoup de comportements à modifier. Il faut l'expliquer aux personnes qui nous entoure quand on le peut, ça aide tout le monde. ;)
@jodido
Tout à fait d'accord. Je ne voulais pas dire le contraire d'ailleurs. La question de la sécurité repose toujours sur les mêmes paramètres pour les systèmes modernes : l'utilisateur et l'importance des données. Enregistrer des données importantes sans faire attention à leur protection, enregistrer ses mots de passe, ... beaucoup de comportements à modifier. Il faut l'expliquer aux personnes qui nous entoure quand on le peut, ça aide tout le monde. ;)
n0zkl3r
[14/03/2011 17:19]
Façon, faut pas se leurrer, Mac OS X n'est pas du tout sécurisé ! Ni Safari !
Apple commence seulement à engager des gens experts en sécurité, car le problème est bien là !
Le succès a ses points négatifs aussi hein. Faut arrêter de défendre coûte que coûte en trouvant des excuses à 2 balles...
Maintenant, Apple connait ces problèmes tout comme les autres OS. S'il y aurait 90% de gens sur Mac OS X et 10% sur Windows, le problème serait inversé... Plein de virus sur Mac et très peu sur Windows...
Façon, faut pas se leurrer, Mac OS X n'est pas du tout sécurisé ! Ni Safari !
Apple commence seulement à engager des gens experts en sécurité, car le problème est bien là !
Le succès a ses points négatifs aussi hein. Faut arrêter de défendre coûte que coûte en trouvant des excuses à 2 balles...
Maintenant, Apple connait ces problèmes tout comme les autres OS. S'il y aurait 90% de gens sur Mac OS X et 10% sur Windows, le problème serait inversé... Plein de virus sur Mac et très peu sur Windows...
jodido
[14/03/2011 17:21]
@tempest
en effet tu dis rien parce que bon si ta théorie était correct ça ferait déjà longtemps que windows ne serait pas le meneur du secteur.
le fait est que les gens s'en tape de savoir si c'est sécurisé ou non (enfin ils savent même pas ce que ça veut dire sécurisé)
@tempest
en effet tu dis rien parce que bon si ta théorie était correct ça ferait déjà longtemps que windows ne serait pas le meneur du secteur.
le fait est que les gens s'en tape de savoir si c'est sécurisé ou non (enfin ils savent même pas ce que ça veut dire sécurisé)
simno073
[14/03/2011 17:31]
votre justification du pourquoi chrome/firefox/android n'ont pas été attaqué semble biaisé. puisque Vupen Security, par exemple, a mis des mois pour exploiter une faille, les compagnies n'ont pas jugé utile d'être présente pour hacker android en seulement quelques jours si elles n'ont rien trouvé avant...
l'article gagnerais avec un ton plus neutre et envisage les autres possibilités que celle là plus flatteuse.
votre justification du pourquoi chrome/firefox/android n'ont pas été attaqué semble biaisé. puisque Vupen Security, par exemple, a mis des mois pour exploiter une faille, les compagnies n'ont pas jugé utile d'être présente pour hacker android en seulement quelques jours si elles n'ont rien trouvé avant...
l'article gagnerais avec un ton plus neutre et envisage les autres possibilités que celle là plus flatteuse.
3
2
1
Réagir
Cinq consignes avant de réagir :
- Rester dans le cadre de la dépêche. Pour des discussions plus générales, vous pouvez utiliser nos forums.
- Développer son argumentation. Les messages dont le seul but est de mettre de l'huile sur le feu seront modifiés ou effacés sans préavis par la rédaction.
- Respecter les acteurs de l'informatique et les autres lecteurs. Les messages agressifs, vulgaires, haineux, etc. seront modifiés ou effacés sans préavis par la rédaction.
- Pour toute remarque concernant le contenu de l'article, pour nous signaler une erreur, une faute d'orthographe, une omission, merci de nous contacter exclusivement par e-mail.
- Relisez-vous, et pour les utilisateurs de Safari profitez de l'aide du navigateur : activez le menu édition > Orthographe > Vérifier l'orthographe lors de la frappe.