Mai 2013
pwn2own
Pwn2Own : Internet Explorer tombe à son tour [09.03.2012 14:51 - CL]
Après Chrome, c'est au tour d'Internet Explorer 9 d'être hacké lors du concours Pwn2Own organisé à l'occasion de la conférence CanSecWest. C'est encore l'équipe de Vupen Security qui s'est distinguée. Le leader français des solutions de gestion des vulnérabilités informatiques était déjà l'auteur des deux attaques qui lui ont permis de faire trébucher le navigateur de Google (lire : CanSecWest : Chrome s'effondre deux fois).
Comme pour Chrome, Vupen Security est parvenu à exploiter une faille dans le bac à sable d'Internet Explorer. Chaouki Bekrar, PDG de Vupen, précise que la tâche fut plus aisée que pour Chrome. Ce dernier est bien plus évolué que celui d'Internet Explorer. Toutefois, avec IE10, Microsoft devrait être sur ce plan quasiment au même niveau que Chrome.
Concrètement, il suffit que le PC charge une "simple" page web pour que les hackers puissent prendre le contrôle de la machine.
Safari et Firefox n'ont toujours pas cédé aux assauts des "hackers". D'habitude, le navigateur d'Apple était souvent le premier à tomber. A l'image de tous les navigateurs, Safari a beaucoup progressé en matière de sécurité. Toutefois, son invincibilité est également due au fait que certains chercheurs, comme Charlie Miller, n'ont pas participé à cette édition, car ils sont en désaccord avec les nouvelles règles du concours (lire : Pwn2Own 2012 : va y avoir du sport). Pwn2Own 2012 s'achève ce soir.
Comme pour Chrome, Vupen Security est parvenu à exploiter une faille dans le bac à sable d'Internet Explorer. Chaouki Bekrar, PDG de Vupen, précise que la tâche fut plus aisée que pour Chrome. Ce dernier est bien plus évolué que celui d'Internet Explorer. Toutefois, avec IE10, Microsoft devrait être sur ce plan quasiment au même niveau que Chrome.
L'équipe de Vupen Security / Image : Dan Godin (Ars Technica)
Concrètement, il suffit que le PC charge une "simple" page web pour que les hackers puissent prendre le contrôle de la machine.
Safari et Firefox n'ont toujours pas cédé aux assauts des "hackers". D'habitude, le navigateur d'Apple était souvent le premier à tomber. A l'image de tous les navigateurs, Safari a beaucoup progressé en matière de sécurité. Toutefois, son invincibilité est également due au fait que certains chercheurs, comme Charlie Miller, n'ont pas participé à cette édition, car ils sont en désaccord avec les nouvelles règles du concours (lire : Pwn2Own 2012 : va y avoir du sport). Pwn2Own 2012 s'achève ce soir.
La conférence CanSecWest est l'occasion du fameux concours primé Pwn2Own, qui a notamment couronné Charlie Miller depuis plusieurs années. Celui-ci ne participera pourtant pas à l'édition 2012, suite à un changement de règles qui le met selon lui hors concours.
Ce changement répond à un problème que Charlie Miller a pu lui-même trouver frustrant : l'ordre des tentatives était jusqu'ici tiré au sort, et pouvait donc laisser pour compte de jolies prouesses, puisque le premier à faire tomber une machine était considéré gagnant.
Pour y remédier le concours Pwn2Own se fait désormais sans filet : les participants doivent venir les mains vides et coder sur place leurs hacks, alors qu'ils pouvaient auparavant amener leurs développement réalisés au préalable. Ainsi, le premier à hacker une machine dans cette course au développement gagne. Charlie Miller considère que cela favorise des équipes de développeurs plutôt que ceux qui participent seuls.
Précisément, c'est l'équipe française Vupen Security qui a remporté la mise, et de belle façon : elle a mis à mal l'image d'invulnérabilité de Chrome, seul navigateur à avoir résisté aux attaques l'an dernier. Il a suffi de pointer Chrome sur une page contenant du code malveillant pour que l'ordinateur lance spontanément la calculette de Windows. L'équipe a utilisé deux failles "zero-day" (des failles qu'elle est la première à avoir identifiées et exploitées). Vupen Security compte conserver la primeur de celle qui lui a permis de contourner le bac à sable de Chrome : la société commercialise ses trouvailles à des clients gouvernementaux, ce qui soulève quelque controverse dans la communauté des experts en sécurité.
Mais Chrome s'est également soumis aux imprécations du russe Sergey Glazunov lors d'un autre concours du CanSecWest, cette fois organisé par Google elle-même : Pwnium. Google a en effet décidé de se retirer du concours Pwn2Own, qui n'exige plus la révélation des failles exploitées par les hackers comme Vupen. Pwnium se consacre exclusivement à Chrome, chaque faille utilisée est récompensée, et le vainqueur a gagné les 60 000 $ mis en jeux. Là aussi il a tiré parti de deux failles zero-day, et Google a admis sa défaite avec tout le fair-play de circonstance. Justin Schuh, responsable de la sécurité de Chrome, a admiré la prouesse comme il se doit : « L'exploit était impressionnant. Il exigeait une profonde compréhension de la manière dont Chrome fonctionne. Ça n'est pas une mince affaire à réaliser. C'est très difficile et c'est pourquoi nous le récompensons avec 60 000 $ ».
Naturellement Google se fait fort de fournir une correction des failles concernées au plus vite, du moins pour celles qui lui auront été dévoilées.
Ce changement répond à un problème que Charlie Miller a pu lui-même trouver frustrant : l'ordre des tentatives était jusqu'ici tiré au sort, et pouvait donc laisser pour compte de jolies prouesses, puisque le premier à faire tomber une machine était considéré gagnant.
Pour y remédier le concours Pwn2Own se fait désormais sans filet : les participants doivent venir les mains vides et coder sur place leurs hacks, alors qu'ils pouvaient auparavant amener leurs développement réalisés au préalable. Ainsi, le premier à hacker une machine dans cette course au développement gagne. Charlie Miller considère que cela favorise des équipes de développeurs plutôt que ceux qui participent seuls.
Précisément, c'est l'équipe française Vupen Security qui a remporté la mise, et de belle façon : elle a mis à mal l'image d'invulnérabilité de Chrome, seul navigateur à avoir résisté aux attaques l'an dernier. Il a suffi de pointer Chrome sur une page contenant du code malveillant pour que l'ordinateur lance spontanément la calculette de Windows. L'équipe a utilisé deux failles "zero-day" (des failles qu'elle est la première à avoir identifiées et exploitées). Vupen Security compte conserver la primeur de celle qui lui a permis de contourner le bac à sable de Chrome : la société commercialise ses trouvailles à des clients gouvernementaux, ce qui soulève quelque controverse dans la communauté des experts en sécurité.
Mais Chrome s'est également soumis aux imprécations du russe Sergey Glazunov lors d'un autre concours du CanSecWest, cette fois organisé par Google elle-même : Pwnium. Google a en effet décidé de se retirer du concours Pwn2Own, qui n'exige plus la révélation des failles exploitées par les hackers comme Vupen. Pwnium se consacre exclusivement à Chrome, chaque faille utilisée est récompensée, et le vainqueur a gagné les 60 000 $ mis en jeux. Là aussi il a tiré parti de deux failles zero-day, et Google a admis sa défaite avec tout le fair-play de circonstance. Justin Schuh, responsable de la sécurité de Chrome, a admiré la prouesse comme il se doit : « L'exploit était impressionnant. Il exigeait une profonde compréhension de la manière dont Chrome fonctionne. Ça n'est pas une mince affaire à réaliser. C'est très difficile et c'est pourquoi nous le récompensons avec 60 000 $ ».
Naturellement Google se fait fort de fournir une correction des failles concernées au plus vite, du moins pour celles qui lui auront été dévoilées.
La faille de sécurité exploitée par Charlie Miller lors du défi Pwn2Own pour faire tomber le système d'Apple a été comblée avec Mac OS 10.6.7 sortie hier (lire : Mises à jour : Mac OS X 10.6.7 est de sortie). Cette mise à jour corrige notamment 56 failles de sécurité, parmi lesquelles se trouvent celles exploitées par l'expert en sécurité, mais aussi d'autres bugs que Charlie Miller avait déniché dans Mac OS X et qu'il n'avait pas exploités, ni révélés à Apple.
La faille existe toujours dans un produit Apple puisqu'elle est encore présente dans iOS. Apple travaillerait activement à une mise à jour qui corrigera notamment ces failles de sécurité (lire : iOS 4.3.1 dans les tuyaux).
La faille existe toujours dans un produit Apple puisqu'elle est encore présente dans iOS. Apple travaillerait activement à une mise à jour qui corrigera notamment ces failles de sécurité (lire : iOS 4.3.1 dans les tuyaux).
Chrome, le navigateur de Google, a résisté, faute de candidat, au défi de Pwn2Own, événement au cours duquel des hackers et chercheurs en sécurité essaient de faire tomber des navigateurs en utilisant une faille de sécurité. Pourtant, Google a corrigé une faille de sécurité de Webkit, le moteur d'affichage des pages utilisé par Chrome. Cette faille a été en fait exploitée par l'équipe qui a fait tomber le navigateur du Blackberry Torch (lire : Pwn2Own 2011 : l'iPhone et un BlackBerry sont tombés) et elle concerne tout autant les navigateurs Webkit, Chrome donc, mais aussi Safari.
Comme toujours, Google a été extrêmement réactif dans la correction de cette faille jugée sérieuse par le géant de la recherche. Fidèle à son habitude, l'entreprise n'a rien dévoilé de précis concernant cette faille qui concerne apparemment une corruption de la mémoire liée aux styles. Google a donné 1337 $ à l'équipe qui a déniché cette faille, 1337 $ qui viennent s'ajouter aux 15 000 gagnés pour avoir fait tomber le smartphone.
Comme toujours également, Apple refuse de commenter ses corrections de failles de sécurité. L'entreprise de Cupertino est néanmoins rarement prompte à corriger les failles et on ne sait pas quand la correction interviendra. Pendant le Pwn2Own, l'iPhone était aussi tombé, mais iOS 4.3 sorti depuis rend visiblement la tâche beaucoup plus difficile pour les hackers.
Sur le même sujet :
- CanSecWest : Safari tombe sur une faille de sécurité WebKit
- Pwn2Own 2011 : Apple, victime de son succès ?
Comme toujours, Google a été extrêmement réactif dans la correction de cette faille jugée sérieuse par le géant de la recherche. Fidèle à son habitude, l'entreprise n'a rien dévoilé de précis concernant cette faille qui concerne apparemment une corruption de la mémoire liée aux styles. Google a donné 1337 $ à l'équipe qui a déniché cette faille, 1337 $ qui viennent s'ajouter aux 15 000 gagnés pour avoir fait tomber le smartphone.
Comme toujours également, Apple refuse de commenter ses corrections de failles de sécurité. L'entreprise de Cupertino est néanmoins rarement prompte à corriger les failles et on ne sait pas quand la correction interviendra. Pendant le Pwn2Own, l'iPhone était aussi tombé, mais iOS 4.3 sorti depuis rend visiblement la tâche beaucoup plus difficile pour les hackers.
Sur le même sujet :
- CanSecWest : Safari tombe sur une faille de sécurité WebKit
- Pwn2Own 2011 : Apple, victime de son succès ?
Pendant trois jours, les hackers et chercheurs en sécurité se sont succédé pour faire tomber les principaux navigateurs web du marché sur les principaux ordinateurs et smartphones. Le bilan n'est pas flatteur pour Apple à première vue : Safari sur Mac est tombé dès le premier jour et Safari Mobile a connu les mêmes déboires le lendemain..
En ce qui concerne Safari pour Mac, c'est une société française, Vupen Security, qui est parvenu à exploiter en premier une faille inconnue de Webkit et a raflé la mise et empoché au passage 15 000 $ ainsi qu'un MacBook Air. En conduisant l'utilisateur sur un site spécifique elle a réussi à déclencher en retour et, sans autre intervention de la personne, à lancer l'utilitaire Calculette et à écrire un fichier sur le disque dur de la machine. Le tout sans faire planter Safari. Entre dénicher la faille et se doter des moyens de l'utiliser, il a fallu une quinzaine de jours à l'équipe de Chaouki Bekrar pour parvenir à ses fins (lire : CanSecWest : Safari tombe sur une faille de sécurité WebKit).
De leur côté, Charlie Miller et Dion Blazakis ont réussi à exploiter une faille présente dans Safari Mobile. Les deux chercheurs sont parvenus à récupérer des données stockées sur un iPhone 4, sans que cela ne nécessite d'interaction (ou peu) de la part du propriétaire du téléphone (lire : Pwn2Own 2011 : l'iPhone et un BlackBerry sont tombés).
Mais de l'aveu même de Charlie Miller, cela a été plus compliqué que les autres années. Il a fallu aux deux chercheurs des mois de travail et le hack ne fut finalisé qu'à la veille du concours, alors que durant les années précédentes, Miller avait préparé son coup longtemps à l'avance. De là à dire que tant bien que mal, Apple progresse sur le front de la sécurité, il n'y a qu'un pas.
Il peut d'ailleurs remercier Apple d'avoir proposé au téléchargement iOS 4.3 si tardivement. En effet, la dernière version du système d'Apple apporte la distribution aléatoire de l'espace d'adressage, un mécanisme visant à renforcer la sécurité des terminaux d'Apple. Si ce mécanisme n'annihile pas la faille, il complique sérieusement sa mise en oeuvre selon Charlie Miller.
Le solutions d'Apple ne sont pas les seules à avoir été prises à défaut, Internet Explorer 8 et Blackberry Torch 9800 ont également cédé aux assauts des chercheurs en sécurité. Chrome, Firefox, et les téléphones sous Android et Windows Mobile sortent indemnes de ce concours, mais on peut se demander si les personnes participant à ce concours ne se sont pas dirigées vers les solutions les plus en vue afin de se faire remarquer. En effet, durant ces trois jours, personne n'a essayé de s'attaquer à ces trois systèmes. Les personnes qui avaient prévu de les mettre à l'épreuve se sont désistées pour différentes raisons. De là à dire que les chercheurs en sécurité tout comme les auteurs de virus et autres malwares sélectionnent leurs plates-formes…
En ce qui concerne Safari pour Mac, c'est une société française, Vupen Security, qui est parvenu à exploiter en premier une faille inconnue de Webkit et a raflé la mise et empoché au passage 15 000 $ ainsi qu'un MacBook Air. En conduisant l'utilisateur sur un site spécifique elle a réussi à déclencher en retour et, sans autre intervention de la personne, à lancer l'utilitaire Calculette et à écrire un fichier sur le disque dur de la machine. Le tout sans faire planter Safari. Entre dénicher la faille et se doter des moyens de l'utiliser, il a fallu une quinzaine de jours à l'équipe de Chaouki Bekrar pour parvenir à ses fins (lire : CanSecWest : Safari tombe sur une faille de sécurité WebKit).
De leur côté, Charlie Miller et Dion Blazakis ont réussi à exploiter une faille présente dans Safari Mobile. Les deux chercheurs sont parvenus à récupérer des données stockées sur un iPhone 4, sans que cela ne nécessite d'interaction (ou peu) de la part du propriétaire du téléphone (lire : Pwn2Own 2011 : l'iPhone et un BlackBerry sont tombés).
Mais de l'aveu même de Charlie Miller, cela a été plus compliqué que les autres années. Il a fallu aux deux chercheurs des mois de travail et le hack ne fut finalisé qu'à la veille du concours, alors que durant les années précédentes, Miller avait préparé son coup longtemps à l'avance. De là à dire que tant bien que mal, Apple progresse sur le front de la sécurité, il n'y a qu'un pas.
Il peut d'ailleurs remercier Apple d'avoir proposé au téléchargement iOS 4.3 si tardivement. En effet, la dernière version du système d'Apple apporte la distribution aléatoire de l'espace d'adressage, un mécanisme visant à renforcer la sécurité des terminaux d'Apple. Si ce mécanisme n'annihile pas la faille, il complique sérieusement sa mise en oeuvre selon Charlie Miller.
Le solutions d'Apple ne sont pas les seules à avoir été prises à défaut, Internet Explorer 8 et Blackberry Torch 9800 ont également cédé aux assauts des chercheurs en sécurité. Chrome, Firefox, et les téléphones sous Android et Windows Mobile sortent indemnes de ce concours, mais on peut se demander si les personnes participant à ce concours ne se sont pas dirigées vers les solutions les plus en vue afin de se faire remarquer. En effet, durant ces trois jours, personne n'a essayé de s'attaquer à ces trois systèmes. Les personnes qui avaient prévu de les mettre à l'épreuve se sont désistées pour différentes raisons. De là à dire que les chercheurs en sécurité tout comme les auteurs de virus et autres malwares sélectionnent leurs plates-formes…
Une équipe française a réussi à toucher une petite somme suite à l'exploitation d'une faille de sécurité dans WebKit, le moteur utilisé par Safari. Vancouver accueille actuellement la conférence CanSecWest et son concours Pwn2Own, où des logiciels et systèmes sont mis à l'épreuve afin de mettre en évidence leurs failles de sécurité (lire CanSecWest : Mac et PC vont souffrir).
L'équipe française de Vupen Security a su exploiter une faille inconnue dans WebKit. En conduisant l'utilisateur sur un site spécifique elle a réussi à déclencher en retour et, sans autre intervention de la personne, à lancer l'utilitaire Calculette et à écrire un fichier sur le disque dur de la machine. Le tout sans faire planter Safari. Cette suite d'opérations était un pré-requis pour les organisateurs de ce concours.
Interrogé par ZDNet, Chaouki Bekrar, le co-fondateur de cette société a expliqué qu'il était en fait plus compliqué de mettre au point les outils pour réaliser ce type de manoeuvre que de trouver des failles dans WebKit. Entre dénicher la faille et se doter des moyens de l'utiliser, cela leur a pris environ 15 jours.
Car la documentation manque autour de Mac OS X dès lors qu'on cherche des infos pour essayer d'exploiter les failles potentielles de cet environnement. Alors que les vulnérabilités dans WebKit sont en définitive assez nombreuses et aisées à trouver avec des outils de fuzzing.
Forte de son exploit, Vupen Security a empoché 15 000$ (10 000€) et un MacBook Air 13".
Internet Explorer 8 sur Windows 7 a aussi eu son heure de gloire via l'exploitation consécutive de trois failles de sécurité, avec les mêmes opérations que sur Safari. Stephen Fewer, l'auteur de cet exploit, a réussi à traverser le mode protégé d'Internet Explorer. Presque un mois et demi lui a été nécessaire pour trouver la méthode. Il est également reparti avec 15 000$ et un portable PC.
D'autres challenges sont prévus, avec en particulier les systèmes et navigateurs sur plateformes mobiles.
L'équipe française de Vupen Security a su exploiter une faille inconnue dans WebKit. En conduisant l'utilisateur sur un site spécifique elle a réussi à déclencher en retour et, sans autre intervention de la personne, à lancer l'utilitaire Calculette et à écrire un fichier sur le disque dur de la machine. Le tout sans faire planter Safari. Cette suite d'opérations était un pré-requis pour les organisateurs de ce concours.
Interrogé par ZDNet, Chaouki Bekrar, le co-fondateur de cette société a expliqué qu'il était en fait plus compliqué de mettre au point les outils pour réaliser ce type de manoeuvre que de trouver des failles dans WebKit. Entre dénicher la faille et se doter des moyens de l'utiliser, cela leur a pris environ 15 jours.
Car la documentation manque autour de Mac OS X dès lors qu'on cherche des infos pour essayer d'exploiter les failles potentielles de cet environnement. Alors que les vulnérabilités dans WebKit sont en définitive assez nombreuses et aisées à trouver avec des outils de fuzzing.
Forte de son exploit, Vupen Security a empoché 15 000$ (10 000€) et un MacBook Air 13".
Internet Explorer 8 sur Windows 7 a aussi eu son heure de gloire via l'exploitation consécutive de trois failles de sécurité, avec les mêmes opérations que sur Safari. Stephen Fewer, l'auteur de cet exploit, a réussi à traverser le mode protégé d'Internet Explorer. Presque un mois et demi lui a été nécessaire pour trouver la méthode. Il est également reparti avec 15 000$ et un portable PC.
D'autres challenges sont prévus, avec en particulier les systèmes et navigateurs sur plateformes mobiles.
Comme chaque année se tiendra lors de la conférence CanSecWest à Vancouver les 9, 10 et 11 mars, qui réunit des experts en sécurité venus du monde entier. Comme à l'accoutumée, cet événement accueillera le concours Pwn2Own 2011, durant lequel les participants seront invités à prendre le contrôle d'un Mac et PC en exploitant une faille d'un navigateur web.
Les ordinateurs "mis à disposition" des hackers seront équipés de la dernière version de Mac OS X ou de Windows 7. Ils fonctionneront en 64 bits et comprendront les butineurs suivants : Internet Explorer (sur PC uniquement), Safari, Firefox et Chrome.
Chaque participant aura trente minutes pour mettre en place son attaque. Les gagnants repartiront notamment avec 15 000 $ et l'ordinateur hacké, à savoir soit un MacBook Air 13", soit un Sony Vaio soit un Alienware m11x. Lors des précédentes éditions, Safari a toujours été hacké (lire : Concours CanSecWest : l'iPhone et le Mac ont été piratés).
Un concours similaire sera organisé avec des smartphones. Les téléphones concernés sont un Dell Venue Pro sous Windows Phone 7, un iPhone 4, un Blackberry Torch 9800 sous Blackberry 6 OS et un Nexus sous Android.
De son côté, Google va un peu plus loin. Le géant de l'internet offrira jusqu'à 20 000 $ à quiconque trouvera deux failles dans Chrome dès le premier jour (une pour passer le bac à sable et l'autre pour pirater le navigateur en lui même) ainsi que son fameux netbook le CR-48 (lire : Google sort Chrome 9 et défie les hackers).
Les ordinateurs "mis à disposition" des hackers seront équipés de la dernière version de Mac OS X ou de Windows 7. Ils fonctionneront en 64 bits et comprendront les butineurs suivants : Internet Explorer (sur PC uniquement), Safari, Firefox et Chrome.
Charlie Miller a remporté le concours sur Mac trois années de suite (image : ggee)
Chaque participant aura trente minutes pour mettre en place son attaque. Les gagnants repartiront notamment avec 15 000 $ et l'ordinateur hacké, à savoir soit un MacBook Air 13", soit un Sony Vaio soit un Alienware m11x. Lors des précédentes éditions, Safari a toujours été hacké (lire : Concours CanSecWest : l'iPhone et le Mac ont été piratés).
Un concours similaire sera organisé avec des smartphones. Les téléphones concernés sont un Dell Venue Pro sous Windows Phone 7, un iPhone 4, un Blackberry Torch 9800 sous Blackberry 6 OS et un Nexus sous Android.
De son côté, Google va un peu plus loin. Le géant de l'internet offrira jusqu'à 20 000 $ à quiconque trouvera deux failles dans Chrome dès le premier jour (une pour passer le bac à sable et l'autre pour pirater le navigateur en lui même) ainsi que son fameux netbook le CR-48 (lire : Google sort Chrome 9 et défie les hackers).
Avec chaque nouvelle édition du concours Pwn2Own, et la révélation de faiblesses notoires dans la sécurité de Mac OS X, certains se rassurent en se souvenant que le Mac est à l'abri de l'intérêt des hackers, grâce à ses modestes parts de marché.
Un article de Forbes vient remettre en question cette antienne : Adriel Desautels dirige la société Netragard, spécialisée dans l'achat-vente de bugs. Ces bugs, découverts par des hackers indépendants et revendus à des organismes dont Desautels n'a pas souhaité révélé l'identité, peuvent s'échanger à prix d'or. Et l'argus du bug sur Mac OS X a sensiblement augmenté : il se dit prêt à acheter ces failles entre $15.000 et $115.000. « Il y a un très gros marché pour les bugs sur Mac OS X actuellement. Nos commanditaires sont très intéressés, et dans certains cas ils demandent spécifiquement certains types de bugs sur Mac. » Un tarif toutefois inférieur de 15 % à celui de leurs contreparties sur Windows.
L'intérêt n'est pas ici de hacker des machines par millions, mais de cibler la machine spécifique d'un utilisateur en particulier, pour lui soustraire les précieuses informations et données qu'elle pourrait receler. Il s'agit donc d'espionnage, industriel ou non, mais Desautels se défend de fournir les cybercriminels, sa clientèle étant scrupuleusement filtrée.
Les gagnants du concours Pwn2Own repartent avec la machine qu'ils ont vaincue, et entre $10.000 et $15.000, soit le tarif que paieraient Zero Day Initiative, la société organisatrice du concours, ou la division iDefense de Verisign, pour obtenir ces bugs. Les deux sociétés informent les fabricants des failles et implémentent des contremesures dans leurs logiciels de sécurité.
Charles Miller, triple vainqueur du concours, s'est agacé du manque d'initiative des éditeurs pour garantir la sécurité de leurs logiciels (lire : Charles Miller s'en prend à Apple, Adobe et Microsoft). Ce qui fait malgré tout les affaires de certains…
Un article de Forbes vient remettre en question cette antienne : Adriel Desautels dirige la société Netragard, spécialisée dans l'achat-vente de bugs. Ces bugs, découverts par des hackers indépendants et revendus à des organismes dont Desautels n'a pas souhaité révélé l'identité, peuvent s'échanger à prix d'or. Et l'argus du bug sur Mac OS X a sensiblement augmenté : il se dit prêt à acheter ces failles entre $15.000 et $115.000. « Il y a un très gros marché pour les bugs sur Mac OS X actuellement. Nos commanditaires sont très intéressés, et dans certains cas ils demandent spécifiquement certains types de bugs sur Mac. » Un tarif toutefois inférieur de 15 % à celui de leurs contreparties sur Windows.
L'intérêt n'est pas ici de hacker des machines par millions, mais de cibler la machine spécifique d'un utilisateur en particulier, pour lui soustraire les précieuses informations et données qu'elle pourrait receler. Il s'agit donc d'espionnage, industriel ou non, mais Desautels se défend de fournir les cybercriminels, sa clientèle étant scrupuleusement filtrée.
Les gagnants du concours Pwn2Own repartent avec la machine qu'ils ont vaincue, et entre $10.000 et $15.000, soit le tarif que paieraient Zero Day Initiative, la société organisatrice du concours, ou la division iDefense de Verisign, pour obtenir ces bugs. Les deux sociétés informent les fabricants des failles et implémentent des contremesures dans leurs logiciels de sécurité.
Charles Miller, triple vainqueur du concours, s'est agacé du manque d'initiative des éditeurs pour garantir la sécurité de leurs logiciels (lire : Charles Miller s'en prend à Apple, Adobe et Microsoft). Ce qui fait malgré tout les affaires de certains…