Pour ceux qui ne connaissent pas, le Pwn2Own est un concours (présentement sponsorisé par HP) au cours duquel des chercheurs en sécurité sont mis au défi de prendre le contrôle d’un ordinateur.
Encore une fois cette année, le navigateur est la voie royale de l’attaquant, accompagné des éternels Adobe Flash et Adobe Reader.
Mozilla Firefox, Google Chrome, Internet Explorer et Safari se sont fait retourner lors de cette 8ème édition. Ici l’excuse de l’obsolescence ne passe pas, avec un Windows 8 64 bits comme support.
Il semblerait que Vupen se soit assagi, en effet, cette année, point de cachotteries de la part de notre revendeur de 0day, toutes les vulnérabilités exploitées auraient été divulguées aux éditeurs respectifs.
On ne peut s’empêcher d’être un peu défaitiste en voyant ces résultats. Cela me fait un peu penser au concours Pwn2Kill organisé par l’ESEIA lors de leur “iAWACS”. Ce concours demandait aux participants de faire passer un malware à l’insu des grands antivirus du marché.
A priori, il n’y a pas eu de nouvelle session depuis 2010, mais les deux sessions de 2009 et 2010 ont montré une victoire écrasante des attaquants. L’ensemble des charges malveillantes était passé, aucun moteur antivirus ne les avait détectés.
On est en droit de se demander si les éditeurs font les efforts nécessaires en interne pour éprouver efficacement la sécurité de leurs produits avant de les diffuser au grand public.
Nous sommes désormais dans une course aux fonctionnalités, il est plus tentant d’être le premier à sortir une nouvelle version innovante. On le voit très bien avec l’envolée ridicule des numéros de version des navigateurs.
Un bel exemple est Google Chrome. Il fut un temps ou le changement du numéro majeur de version d’un navigateur était significatif. Il y a longtemps que l’on n’y fait plus attention avec Chrome, qui en est à sa version… 32.
Les récompenses offertes aux chercheurs en échange de la révélation de ces vulnérabilités atteignent des sommes colossales. Cette dernière édition du Pwn2Own ne totalise pas moins de 850 000 dollars de “bounty” !
Mais après tout, est-ce tant que ça pour un éditeur comme Microsoft ou Google ? Peut-être est-il plus intéressant pour eux de payer pour les résultats de ces chercheurs plutôt que de les payer pour les faire chercher en interne.
Doit-on baisser les bras, arrêter de nous échiner à mettre à jour notre ordinateur et nos logiciels ? Abandonner les antivirus, firewall et autre outil de sécurisation ? Bien sûr que non !
La sécurité absolue n’existe pas, et ces concours nous le prouvent, cependant, toutes ces mesures de sécurité ne sont pas pour autant totalement inutiles. Une quantité astronomique de malware circule sur Internet, un Windows obsolète ne tient que quelques heures avant d’être infecté une fois connecté.
Les vulnérabilités présentées sont le fruit d’experts dans le domaine, ils ont investi un temps considérable dans leurs découvertes, et ces vulnérabilités seront patchées par leurs éditeurs.
Ce n’est pas parce qu’il restera toujours possible d’entrer chez vous avec un tank ou un expert en crochetage qu’il ne faut plus prendre la peine de fermer la porte à clé.