Cette semaine, la conférence CanSecWest réunissait comme chaque année les plus grands experts mondiaux de la sécurité IT. Au cours de cette conférence avait lieu un concours de piratage, nommé Pwn2Own, destiné à éprouver la robustesse des principaux logiciels équipant un PC ou un Mac.
Voici un compte rendu de cet événement, relaté sur le site PCInpact :
Charlie Miller fait encore des siennes sur Mac OS X
Plusieurs machines étaient disponibles, et les résultats ne surprendront pas vraiment le public, puisque toutes les machines ont été piratées avec succès. Des failles non répertoriées par les éditeurs ont été utilisées, et Charlie Miller s’est encore fait un nom en tenant sa promesse. Il a en effet indiqué récemment qu’il révèlerait une vingtaine de failles de type 0-day cette semaine sur Mac OS X. Rappelons que ces failles sont exploitées avant même que le correctif soit disponible.
C’est donc Charlie Miller qui a ouvert le bal en s’attaquant à un MacBook Pro équipé de Snow Leopard et de Safari 4. Toutes les mises à jour de sécurité étaient faites, un paramètre important pour le concours et obligatoire pour l’ensemble des machines. La faille utilisée par Miller a pu être exploitée à distance en visitant une page spéciale avec Safari.
Il est d’ailleurs à noter, que Charlie Miller, lassé par le peu de progrès des éditeurs en matière de sécurité, aurait décidé de ne pas dévoiler les failles qu’il a exploité, comme cet article de ZDNet l’explique.
Internet Explorer 8 et Firefox 3.6 tombent aussi
La machine sous Windows 7 n’a pas tenu non plus, car elle est tombée sous les assauts de Peter Vreugdenhil, chercheur en sécurité informatique. Il indique qu’il lui a fallu moins d’une semaine pour coder l’exploitation de la faille utilisée, mais cette dernière devait d’abord contourner deux barrières, la DEP (Data Execution Prevention) et l’ASLR (Address Space Layout Randomization). Il a utilisé différentes astuces pour contourner l’ASLR, ce qui lui a permis de récupérer l’adresse mémoire d’un composant chargé par Internet Explorer. Il a ensuite utilisé la même méthode pour la DEP. Un organisateur du concours a ensuite visité une page spécialement conçue depuis Internet Explorer 8 pour vérifier l’exploitation de la faille.
Est venue ensuite la dernière version de Firefox sur une machine équipée de Windows 7 64 bits. Nils, de MWR InfoSecurity, s’est servi de la Calculatrice Windows, mais il a indiqué qu’il aurait pu utiliser n’importe quel processus. Une vulnérabilité de corruption de la mémoire a ainsi été utilisée, mais lui aussi a dû contourner les protections DEP et ASLR. Selon lui, seuls quelques jours ont été nécessaires à la création de cette exploitation.
L’iPhone lui aussi piraté, Chrome intouchable ?
L’iPhone a lui aussi été piraté. Les manipulations ont été effectuées par Vincenzo Iozzo et Ralf Philipp Weinmann. À l’aide d’une page Web malveillante, ils ont pu exploiter une faille dans Safari Mobile et se donner les mêmes droits que l’utilisateur local du téléphone, nommé « Mobile ». Avec ces droits, ils ont pu, en moins de vingt secondes, récupérer l’intégralité des SMS présents sur l’appareil. Ces données ont été envoyées à un serveur distant tandis que Safari indiquait charger la page.
Au final, toutes les machines ont été piratées, mais un produit s’est distingué : Chrome. La vérité est que personne n’a essayé de pénétrer ses défenses. Au sujet du navigateur de Google, Charlie Miller avait indiqué l’année dernière que pirater Chrome serait difficile. Il y a bien des bugs et des vulnérabilités, mais elles sont complexes à exploiter. Il explique en outre que pirater Chrome sous Windows présente une convergence de plusieurs facteurs qui rendent le logiciel fortifié : pas d’exécution sur la pile, la sandbox créée par Google, et les protections de Windows (DEP et ASLR).
Tous les experts qui ont piraté des machines ont gagné ces dernières, ainsi qu’un prix de 10 000 dollars, ou de 15 000 dollars dans le cas de l’iPhone.
Précisons que des représentants de Microsoft et d’autres sociétés étaient présents pour suivre les manipulations. Dès la fin de la conférence CanSecWest, les détails des failles seront communiqués aux éditeurs concernés.
[…] L'année dernière, le navigateur Google Chrome était sorti "invaincu" de ce concours… et pour cause ! Il ne figurait pas dans les navigateurs candidats. Mais cette année, il sera bel et bien soumis aux attaques des meilleurs hackers de la planète, et la firme propose tout de même $20.000 à celui qui parviendra à franchir les mesures de sécurité du logiciel ! […]