Entre le 12 et 13 mars se tenait la conférence CanSecWest de Vancouver avec son traditionnel hackaton Pwn2Own de HP. Cet événement a permis d’identifier près de 14 failles de sécurité majeures concernant principalement des navigateurs Internet et logiciels liés. Et un éditeur français s’est distingué à cette occasion.
Les browser Chrome, Safari, Internet Explorer 11 et Safari ont été triturés par des chercheurs en sécurité (indépendants ou rattachés à une firme IT) pour dénicher des failles à corriger par leurs éditeurs.
En sponsorisant Pwn2Own, HP veut faire appel aux meilleurs hackers de la planète, qui sont récompensés en fonction du degré plus ou moins critique de la faille trouvée. Cette année, le hackaton aura permis aux participants d’amasser un magot de 850 000 US dollars (sur un budget disponible de 1,085 million), dont 400 000 obtenus par l’équipe de Vupen Security.
L’éditeur de solutions et consultant français en matière de sécurité informatique bat ainsi le record historique de Pwn2Own et s’illustre, pour la quatrième fois consécutive, en première place du hackaton (première place 2011, 2012, 2013 et 2014).
L’équipe de Vupen a présenté 5 exploits différents concernant Adobe Reader, Adobe Flash, Firefox, Chrome et surtout Internet Explorer 11. Dans ce dernier cas, l’équipe d’experts a réussi à contourner le mode sandboxing d’IE 11, qui est censé appliquer des restrictions de sécurité pour les éléments à contenu non approuvé (on pense notamment aux contenus « iframe » provenant de pages distantes et souvent utilisés par les hackers pour faire exécuter du code malveillant par le navigateur du terminal ciblé).
Pour le Pwn2Own 2014, et pour la première fois, une session spéciale (appelée Pwn4Fun) a vu s’affronter les équipes professionnelles de la Zero Day Initiative de HP et de Google. Ces deux équipes ont elles-mêmes pu découvrir un certain nombre de failles et amasser en cumul près de 32 000 dollars à reverser sous forme de dons à la Croix Rouge Canadienne.
A l’issu du Hackaton, HP a publié une infographie censée promouvoir les circuits légaux de « bug bounties » (ou recherches de bugs et de failles financées légalement par les grandes entreprises) auprès des hackers. L’objectif est ainsi d’en convaincre le plus possible d’œuvrer à la sécurité et non à la compromission des réseaux.
Quiz :
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…