Pwn2Own : Vupen Security domine le hackaton du CanSecWest

Cloud
pwn2own-hackaton

L’éditeur français Vupen Security s’est distingué lors du Pwn2Own (hackaton CanSecWest-Vancouver). Il fallait se concentrer sur les failles des navigateurs.

Entre le 12 et 13 mars se tenait la conférence CanSecWest de Vancouver avec son traditionnel hackaton Pwn2Own de HP. Cet événement a permis d’identifier près de 14 failles de sécurité majeures concernant principalement des navigateurs Internet et logiciels liés. Et un éditeur français s’est distingué à cette occasion.

Les browser Chrome, Safari, Internet Explorer 11 et Safari ont été triturés par des chercheurs en sécurité (indépendants ou rattachés à une firme IT) pour dénicher des failles à corriger par leurs éditeurs.

En sponsorisant Pwn2Own, HP veut faire appel aux meilleurs hackers de la planète, qui sont récompensés en fonction du degré plus ou moins critique de la faille trouvée. Cette année, le hackaton aura permis aux participants d’amasser un magot de 850 000 US dollars (sur un budget disponible de 1,085 million), dont 400 000 obtenus par l’équipe de Vupen Security.

L’éditeur de solutions et consultant français en matière de sécurité informatique bat ainsi le record historique de Pwn2Own et s’illustre, pour la quatrième fois consécutive, en première place du hackaton (première place 2011, 2012, 2013 et 2014).

L’équipe de Vupen a présenté 5 exploits différents concernant Adobe Reader, Adobe Flash, Firefox, Chrome et surtout Internet Explorer 11. Dans ce dernier cas, l’équipe d’experts a réussi à contourner le mode sandboxing d’IE 11, qui est censé appliquer des restrictions de sécurité pour les éléments à contenu non approuvé (on pense notamment aux contenus « iframe » provenant de pages distantes et souvent utilisés par les hackers pour faire exécuter du code malveillant par le navigateur du terminal ciblé).

Pour le Pwn2Own 2014, et pour la première fois, une session spéciale (appelée Pwn4Fun) a vu s’affronter les équipes professionnelles de la Zero Day Initiative de HP et de Google. Ces deux équipes ont elles-mêmes pu découvrir un certain nombre de failles et amasser en cumul près de 32 000 dollars à reverser sous forme de dons à la Croix Rouge Canadienne.

A l’issu du Hackaton, HP a publié une infographie censée promouvoir les circuits légaux de « bug bounties » (ou recherches de bugs et de failles financées légalement par les grandes entreprises) auprès des hackers. L’objectif est ainsi d’en convaincre le plus possible d’œuvrer à la sécurité et non à la compromission des réseaux.

infographie-hp-hackaton-pwn2own
L’infographie publiée par HP à l’issue du Pwn2Own. Celle-ci est censée présentée les différents moyens légaux et utiles pour un hacker d’obtenir de l’argent avec ses trouvailles.
Crédit image : HP

Quiz :

Lire aussi :

Lire la biographie de l´auteur  Masquer la biographie de l´auteur