Entre le 12 et 13 mars se tenait la conférence CanSecWest de Vancouver avec son traditionnel hackaton Pwn2Own de HP. Cet événement a permis d’identifier près de 14 failles de sécurité majeures concernant principalement des navigateurs Internet et logiciels liés. Et un éditeur français s’est distingué à cette occasion.
Les browser Chrome, Safari, Internet Explorer 11 et Safari ont été triturés par des chercheurs en sécurité (indépendants ou rattachés à une firme IT) pour dénicher des failles à corriger par leurs éditeurs.
En sponsorisant Pwn2Own, HP veut faire appel aux meilleurs hackers de la planète, qui sont récompensés en fonction du degré plus ou moins critique de la faille trouvée. Cette année, le hackaton aura permis aux participants d’amasser un magot de 850 000 US dollars (sur un budget disponible de 1,085 million), dont 400 000 obtenus par l’équipe de Vupen Security.
L’éditeur de solutions et consultant français en matière de sécurité informatique bat ainsi le record historique de Pwn2Own et s’illustre, pour la quatrième fois consécutive, en première place du hackaton (première place 2011, 2012, 2013 et 2014).
L’équipe de Vupen a présenté 5 exploits différents concernant Adobe Reader, Adobe Flash, Firefox, Chrome et surtout Internet Explorer 11. Dans ce dernier cas, l’équipe d’experts a réussi à contourner le mode sandboxing d’IE 11, qui est censé appliquer des restrictions de sécurité pour les éléments à contenu non approuvé (on pense notamment aux contenus « iframe » provenant de pages distantes et souvent utilisés par les hackers pour faire exécuter du code malveillant par le navigateur du terminal ciblé).
Pour le Pwn2Own 2014, et pour la première fois, une session spéciale (appelée Pwn4Fun) a vu s’affronter les équipes professionnelles de la Zero Day Initiative de HP et de Google. Ces deux équipes ont elles-mêmes pu découvrir un certain nombre de failles et amasser en cumul près de 32 000 dollars à reverser sous forme de dons à la Croix Rouge Canadienne.
A l’issu du Hackaton, HP a publié une infographie censée promouvoir les circuits légaux de « bug bounties » (ou recherches de bugs et de failles financées légalement par les grandes entreprises) auprès des hackers. L’objectif est ainsi d’en convaincre le plus possible d’œuvrer à la sécurité et non à la compromission des réseaux.
Quiz :
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…