Google Chrome tombe finalement face aux attaques des hackers
Deux concours destinés aux experts en sécurité, et récompensés d’un prix de 60 000 dollars chacun, ont vu deux équipes indépendantes défaire les mesures de sécurité de Chrome et Windows.
Chrome n’a pas été à la fête aux concours de hacking Pwn2Own et Pwnium. Le butineur est ainsi tombé, suite aux attaques du Français Vupen Security et du Russe Sergey Glazunov.
Le Français a exploité une combinaison de failles. Une première pour passer à travers le bac à sable intégré à Google Chrome, et une seconde réduisant au silence les technologies de sécurité intégrées à Windows détaille Silicon.fr.
Il semblerait qu’un composant Flash ait été utilisé : les points de contact entre l’OS et le navigateur sont ici plus nombreux, réduisant ainsi l’épaisseur de la couche d’isolation du bac à sable (et augmentant d’autant la surface d’attaque).
L’organisateur du concours va payer 60 000 dollars à Vupen Security relate le magasine Wired. Mais comme le Français refuse de révéler les failles utilisées, Google ne lui versera pas de prime.
Lors d’un concours organisé quelques jours plus tard par Google, et nommé Pwnium, une autre faille critique de Chrome a été révélée par Sergey Glazunov.
Un habitué, puisqu’il décroche régulièrement des récompenses pour la découverte de vulnérabilités dans ce butineur.
Son exploit est de taille, car la faille exploitée est « native » (et ne passe donc pas par un greffon).
Comme il communique les failles découvertes à Google, il a le droit de toucher la récompense promise.
Google a livré un correctif éliminant les deux bogues liés à cette faille, et a donc versé 60 000 dollars à Sergey Glazunov. Il reste 940 000 dollars dans la bourse que Google a créé pour récompenser les failles signalées lors du Pwnium.
La version 17.0.963.78 de Chrome, accessible pour Windows, Mac OS X et Linux, corrige ce problème et devra donc être installée sans tarder.
En offrant 60 000 dollars à Sergey Glazunov et rien (pour le moment) à l’équipe de Vupen Security, Google marque son désaccord envers les règles du concours Pwn2Own, qui permettent aux hackers de dévoiler une faille sans expliquer quels bogues ont été exploités.
Les organisateurs se justifient en expliquant que, sinon, personne ne viendrait : les failles valent beaucoup plus cher que 60 000 dollars sur le marché légal ou illégal.
La pratique reste contestable, car elle empêche les éditeurs de trouver rapidement une parade aux problèmes constatés, laissant d’autant plus longtemps les utilisateurs à découvert.
Logo : © Yuri Arcurs – Fotolia.com, © Aelita – Fotolia.com, © Alexis – Net Media Europe