Secu
Les navigateurs web restent toujours vulnérables
Par Jacques Cheminat, publié le 19 mars 2018
A l’occasion du concours Pwn2own, les spécialistes de la sécurité ont mis à mal les protections des différents navigateurs : Edge, Safari et Firefox. Une compétition marquée par l’absence des équipes chinoises.
Chaque année à Vancouver, les meilleures équipes de hackers se donnent rendez-vous pour le concours Pwn2Own. L’objectif est simple : trouver des failles dans différentes solutions comme les navigateurs web, les hyperviseurs, des serveurs, des offres SaaS, etc. Au total, le concours propose jusqu’à 2 millions de dollars de récompense pour des exploits validés. La prime la plus élevée, 250 000 dollars concerne le contournement de sandbox de l’hyperviseur ou du kernel d’Hyper-V de Microsoft. Le millésime 2018 de l’épreuve a rapporté 267 000 dollars à l’ensemble des équipes en lice.
Les navigateurs web ont particulièrement étaient visés par les spécialistes de la sécurité. Chaque année, les éditeurs améliorent, souvent au contact des hackers, la protection de leur navigateur, mais cela n’empêche pas les experts de trouver des brèches. C’est le cas pour Safari d’Apple. Plusieurs chercheurs ont mené différents exploits avec plus ou moins de succès. Ainsi, le grand gagnant du Pwn2Own 2018, Richard Zhu a échoué à contourner la sandbox de Safari. Il a néanmoins réussi à casser Edge le navigateur de Microsoft et Firefox. Pour le navigateur d’Apple, c’est une équipe de MWR Labs qui a trouvé la brèche. Pour être complet, une autre équipe Phoenhex team a réussi partiellement à mettre à mal la VirtualBox d’Oracle.
La Chine boycotte et les bug bounty en concurrence
L’édition 2018 du Pwn2Own a été marquée par l’absence des compétiteurs chinois. Depuis quelques années, les équipes de hackers chinois sont parmi les plus chevronnées et remportent des primes importantes. Mais cette année, le gouvernement chinois en a décidé autrement en interdisant aux experts en sécurité de se rendre à Vancouver. Pour expliquer cette décision, les autorités chinoises ne souhaitent plus que ses chercheurs partagent des failles et des exploits avec des tiers dans un pays étranger. Elles préfèrent que les spécialistes signalent les failles directement aux éditeurs de solutions. Une explication un peu légère, car les failles découvertes lors de la compétition sont transmises aux éditeurs pour les corriger rapidement. La Chine souhaite plus certainement garder les vulnérabilités découvertes pour enrichir son cyber-arsenal.
L’attrait de la compétition Pwn2Own peut aussi s’émousser avec le développement des bug bounty. Ces programmes de recherche de bug promettent des récompenses parfois financières aux découvreurs de failles. Ce système a démarré aux Etats-Unis avec des plateformes comme HackerOne. La France n’est pas en reste avec plusieurs offres de Bug Bounty comme Bountyfactory.io, Yogosha, Wavestone, etc. Cet écosystème tend à rendre les concours de hacking moins attractifs, même si le Pwn2Own garde sa notoriété médiatique.