Index du Forum
Se connecter pour vérifier ses messages privés
Pwn2Own : tous les navigateurs sont encore tombés cette année


 
Poster un nouveau sujet   Répondre au sujet     Index du Forum » Administration » Info Flasch sécurité » Infos Navigateurs
Sujet précédent :: Sujet suivant  
Pwn2Own : tous les navigateurs sont encore tombés cette année
 MessagePosté le: Mer 25 Mar - 07:17 (2015) Répondre en citant  
Message
  nenette58
Administrateurs WSI
Administrateurs WSI


Hors ligne

Inscrit le: 01 Nov 2008
Messages: 3 843
Niveau Général Informatique:
Estimation Protection:
Navigateur: FireFox
Féminin Cancer (21juin-23juil) 狗 Chien
Point(s): 4 310
Moyenne de points: 1,12
Version Pack: Gratuite
Autre: MalwareBytes+Zemana

PublicitéSupprimer les publicités ?
Le concours Pwn2Own permet chaque année de récompenser ceux qui parviennent à trouver, puis à exploiter des failles dans les navigateurs. Cette compétition permet aux éditeurs concernés d’accélérer également la découverte des brèches. Comme chaque année, l’édition 2015 n’a épargné personne : tous les navigateurs ont vu leurs défenses percées.

110 000 dollars pour une unique faille dans Chrome


Comme en 2014, tous les navigateurs sont donc tombés en fin de semaine dernière devant les assauts des hackers durant la compétition Pwn2Own. Le concours est examiné de près puisque les participants doivent utiliser une ou plusieurs failles et se débrouiller pour percer les défenses des logiciels. Or, impossible d’utiliser des failles « conventionnelles » puisque les systèmes servant aux tests ont tous les derniers patchs. Conséquence : les brèches utilisées sont inconnues des éditeurs et sont forcément de type 0-day. Notez que Flash et Reader, tous deux d’Adobe, font partie des cibles potentielles en tant que plugins très couramment utilisés.

On retrouvait donc Internet Explorer, Chrome, Firefox et Safari, tous disponibles dans leur dernière mouture. À l’exception de Safari, tous étaient accessibles sur une machine sous Windows 8.1, là encore avec tous les correctifs disponibles. Et tous sont tombés : aucun navigateur n’a pu se targuer d’avoir résisté au savoir-faire des concurrents, dont l’un s’est particulièrement démarqué. Jung Hoon Lee, chercheur coréen en sécurité (pseudonyme « lokihardt »), a ainsi remporté 110 000 dollars en quelques minutes seulement, alors qu’il travaillait seul. Un record.

Pour y parvenir, il a tout simplement exploité un dépassement de mémoire tampon dans Chrome, dans sa dernière révision stable aussi bien que dans sa plus récente bêta. La performance lui a permis d’amasser tout d’abord 75 000 dollars issus du concours proprement dit. Mais la méthode utilisée, qui s’est appuyée sur deux bugs dans le noyau Windows, lui a permis d’engranger également 25 000 dollars supplémentaires. Quant aux 10 000 dollars restants, ils ont été donnés directement par Google, dans le cadre de son Project Zero, pour avoir pu reproduire l’exploitation sur Chrome bêta.

Internet Explorer, Firefox, Safari, Flash, Reader : aucun n'a pu résister

Il ne lui a pas fallu plus de deux minutes pour réaliser sa technique, signe qu’elle avait été largement préparée en amont. HP, dont la Zero Day Initiative sponsorise le concours, note avec amusement que cette performance a permis à Lee d’engranger l’argent à la vitesse de « 916 dollars par seconde ». D’autant que cette somme a été complétée plus tard par 65 000 autres dollars, provenant cette fois de l’exploitation d’une faille TOCTOU (time-of-check to time-of-use) dans Internet Explorer 11 en 64 bits. Il a ainsi pu obtenir des privilèges de lecture/écriture dans le navigateur de Microsoft, en utilisant une faille JavaScript pour s’échapper de la sandbox, qui isole normalement le processus du reste du système.

Notez également que le même Jung Hoon Lee a percé les défenses de Safari sur Mac, lui octroyant 50 000 dollars supplémentaires, pour un total de 225 000 dollars durant la compétition. Il s’agit d’un record, car les sommes élevées sont d’ordinaire réservées à des équipes de plusieurs chercheurs et/ou hackers. Quand on sait que le concours Pwn2Own a versé cette année un total de 557 500 dollars pour 21 failles, on se rend mieux compte de la performance du chercheur coréen, qui totalise plus de 40 % des gains totaux.

Voici d’ailleurs la répartition des failles trouvées :

Windows : 5 failles
Internet Explorer 11 : 4 failles
Firefox : 3 failles
Adobe Reader : 3 failles
Adobe Flash : 3 failles
Safari : 2 failles
Chrome : 1 faille

Comme d'habitude, les résultats du concours seront suivis par des mises à jour rapprochées pour tous les navigateurs et produits concernés, Firefox ayant déjà reçu son correctif (mouture 36.0.4)

Source NextInpact


Nul n'a autant besoin d'un sourire que celui qui n'en a pas à donner.





Pwn2Own : tous les navigateurs sont encore tombés cette année
 MessagePosté le: Mer 25 Mar - 14:33 (2015) Répondre en citant  
Message
  Vulcain
Adm-Fondateur
Adm-Fondateur


Hors ligne

Inscrit le: 26 Sep 2007
Messages: 4 468
Niveau Général Informatique:
Estimation Protection:
Navigateur: FireFox
Masculin Bélier (21mar-19avr) 虎 Tigre
Point(s): 4 731
Moyenne de points: 1,06
Pare-feu: Comodo
Autre: Malwarebytes Pro

Il y aura toujours des failles mais à force de les combler, on va se retrouver avec des verrouillages partout, rester libre avec un max de sécurité, possible ???

En informatique, bien souvent le programme dépasse son concepteur, c'est que le logiciel fait quelque chose qui ne lui est pas demandé. Protégez vous : Avast





Pwn2Own : tous les navigateurs sont encore tombés cette année
 MessagePosté le: Mer 25 Mar - 19:55 (2015) Répondre en citant  
Message
  nenette58
Administrateurs WSI
Administrateurs WSI


Hors ligne

Inscrit le: 01 Nov 2008
Messages: 3 843
Niveau Général Informatique:
Estimation Protection:
Navigateur: FireFox
Féminin Cancer (21juin-23juil) 狗 Chien
Point(s): 4 310
Moyenne de points: 1,12
Version Pack: Gratuite
Autre: MalwareBytes+Zemana

Je ne suis pas sûre que combler les failles soit du verrouillage. Qu'est-ce qui te faire dire ça ?


Nul n'a autant besoin d'un sourire que celui qui n'en a pas à donner.





Pwn2Own : tous les navigateurs sont encore tombés cette année
 MessagePosté le: Jeu 26 Mar - 16:39 (2015) Répondre en citant  
Message
  Vulcain
Adm-Fondateur
Adm-Fondateur


Hors ligne

Inscrit le: 26 Sep 2007
Messages: 4 468
Niveau Général Informatique:
Estimation Protection:
Navigateur: FireFox
Masculin Bélier (21mar-19avr) 虎 Tigre
Point(s): 4 731
Moyenne de points: 1,06
Pare-feu: Comodo
Autre: Malwarebytes Pro

Une faille, une porte, maintenant a force on ira devant des contraintes de sécurité
la sécurité au niveau du bios en est une de contrainte
mais le débat est complexe

En informatique, bien souvent le programme dépasse son concepteur, c'est que le logiciel fait quelque chose qui ne lui est pas demandé. Protégez vous : Avast





Pwn2Own : tous les navigateurs sont encore tombés cette année
 MessagePosté le: Ven 27 Mar - 08:33 (2015) Répondre en citant  
Message
  nenette58
Administrateurs WSI
Administrateurs WSI


Hors ligne

Inscrit le: 01 Nov 2008
Messages: 3 843
Niveau Général Informatique:
Estimation Protection:
Navigateur: FireFox
Féminin Cancer (21juin-23juil) 狗 Chien
Point(s): 4 310
Moyenne de points: 1,12
Version Pack: Gratuite
Autre: MalwareBytes+Zemana

La sécurité ne doit pas être une excuse pour tout boucler. C'est la liberté de l'utilisateur de choisir son niveau de protection en fonction de ses connaissances. Que le bios soit verrouillé par le constructeur ok, mais l'utilisateur doit avoir la possibilité de le déverrouiller.


Nul n'a autant besoin d'un sourire que celui qui n'en a pas à donner.





Pwn2Own : tous les navigateurs sont encore tombés cette année
 MessagePosté le: Ven 27 Mar - 09:39 (2015) Répondre en citant  
Message
  Vulcain
Adm-Fondateur
Adm-Fondateur


Hors ligne

Inscrit le: 26 Sep 2007
Messages: 4 468
Niveau Général Informatique:
Estimation Protection:
Navigateur: FireFox
Masculin Bélier (21mar-19avr) 虎 Tigre
Point(s): 4 731
Moyenne de points: 1,06
Pare-feu: Comodo
Autre: Malwarebytes Pro

Ok, mais se sont bien les utilisateurs qui ne comprennent rien en rien qui font la mauvaise publicité. Par contre le verrouillage du bios, ça doit géner quoi? 5% et encore, d'où leur choix

En informatique, bien souvent le programme dépasse son concepteur, c'est que le logiciel fait quelque chose qui ne lui est pas demandé. Protégez vous : Avast





Pwn2Own : tous les navigateurs sont encore tombés cette année
 MessagePosté le: Ven 27 Mar - 09:47 (2015) Répondre en citant  
Message
  nenette58
Administrateurs WSI
Administrateurs WSI


Hors ligne

Inscrit le: 01 Nov 2008
Messages: 3 843
Niveau Général Informatique:
Estimation Protection:
Navigateur: FireFox
Féminin Cancer (21juin-23juil) 狗 Chien
Point(s): 4 310
Moyenne de points: 1,12
Version Pack: Gratuite
Autre: MalwareBytes+Zemana

Sans doute as-tu raison, je prends chaque verrouillage pour une privation de ma liberté. C'est un peu excessif, je le conçois Mr. Green


Nul n'a autant besoin d'un sourire que celui qui n'en a pas à donner.





Pwn2Own : tous les navigateurs sont encore tombés cette année
 MessagePosté le: Aujourd’hui à 01:35 (2017)  
Message
  Contenu Sponsorisé







Poster un nouveau sujet   Répondre au sujet     Index du Forum » Infos Navigateurs

Page 1 sur 1
Toutes les heures sont au format GMT - 1 Heure

Montrer les messages depuis:

  

Sauter vers:  

Portail | Index | Creer un forum | Forum gratuit d’entraide | Annuaire des forums gratuits | Signaler une violation | Conditions générales d'utilisation
Powered by phpBB © 2001, 2017 phpBB Group Traduction par : phpBB-fr.com