Pwn2Own : Chrome est le premier navigateur à tomber

Cette année Chrome fut le premier navigateur à tomber aux mains des hackers. Une fois de plus ce sont les français de Vupen qui se sont distingués.

Lors du sommet CanSecWest, dédié à la sécurité informatique, le concours Pwn2Own invite les hackers à exploiter d'éventuelles failles de sécurité présentes au sein des principaux navigateurs Internet. Les spécialistes de Vupen se sont d'emblée attaqués à Chrome.

Chaouki Bekrar, co-fondateur et chercheur chez Vupen, explique avoir exploité deux vulnérabilités. L'une d'elles fut identifiée sur une version de Windows 7 64-bit SP1 et concerne la distribution aléatoire de l'espace d'adressage tandis que l'autre fut repérée dans le mode de bac à sable de Chrome (sandbox). L'année dernière, Vupen avait publié une vidéo démontrant cette même attaque sur Chrome 11 mais Google estimait que celle-ci n'était pas valide puisqu'elle exploitait le plugin Flash Player. « Notre hack fonctionne après l'installation par défaut donc cela n'a pas vraiment d'importance si nous utilisons une partie tierce », affirme M. Bekrar à nos confrères de ZDnet US.

L'équipe de Vupen aurait préparé cette édition du Pwn2Own avec quatre attaques pour Chrome, Firefox, Safari et Internet Explorer. Ils auraient cependant choisi de s'en prendre au logiciel de Google. « Nous souhaitions montrer que Chrome n'était pas imprenable (...) nous voulions être sûr qu'il serait le premier à tomber cette année ». M. Bekrar ajoute cependant que le mode sanboxing de Chrome est véritablement le plus sécurisé et que Chrome reste l'un des navigateurs les plus sûrs. La société française devrait donc bénéficier de l'une des récompenses promises par Google. Cependant, il s'agit surtout d'entretenir sa notoriété dans le milieu de la sécurité informatique puisque Vupen commercialise son expertise auprès des gouvernements.

Ce n'est pas la première fois que ces chercheurs font parler d'eux. Au mois de mars 2011 Vupen avait en effet réussi à exploiter une brèche au sein de Safari en quelques secondes et remporté au passage la somme de 15 000 dollars ainsi qu'un MacBook Air.