Pwn2own : des dégâts sur les navigateurs Web

Internet Explorer, Chrome, Firefox, Safari… Aucun des principaux navigateurs Web du marché n’aura résisté aux hackers en lice dans le cadre du concours Pwn2own.

Organisée la semaine passée dans le cadre de la conférence CanSecWest sur la sécurité informatique, cette compétition était supervisée par HP, en partenariat avec l’équipe Google Project Zero.

Cette 8^e édition annuelle aura duré deux jours ; le premier ayant été marqué par l’exploit de Nicolas Joly. Ce jeune expert français a récolté un total de 90 000 dollars pour la découverte d’une vulnérabilité avec exécution à distance, le tout combiné à une faille au niveau du bac à sable (sandbox) dans deux produits Adobe : le plugin Flash et la visionneuse PDF Reader.

Dans le même temps, la palme de la vitesse a été décernée à Mariusz Mlynski : 0,512 seconde pour exploiter une brèche dans Firefox avec élévation de privilèges dans Windows et exécution de code à distance. Il glane au passage 55 000 dollars.

Le deuxième jour a été marqué par ce carton plein du Coréen JungHoon Lee, connu sous le pseudo lokihardt, et qui a contourné les protections mises en place aussi bien pour Chrome (versions bêta et stable) que Safari et Internet Explorer 11.

Pour pirater le navigateur de Google, il a utilisé une technique de débordement de tampon associée à des failles dans le noyau Windows. Safari est passé à la casserole par contournement de sandbox et corruption de mémoire ; Internet Explorer 11, par un bug de type TOCTOU (« time-of-check to time-of-use »), les défenses de la sandbox ayant été déjouées par injection JavaScript. un combo qui rapporte 225 000 dollars.

Dans les records de vitesse, l’équipe chinoise 360Vulcan a fait plier IE en 17 secondes, souligne Silicon.fr. Les regards se tournent désormais vers le projet Spartan, qui doit remplacer Internet Explorer chez Microsoft… et qui sera sans doute la vedette du Pwn2own 2016.

Crédit photo : Andrei Lishnesky- Shutterstock.com