Depuis mercredi dernier se tient la grande conférence CanSecWest à Vancouvers durant laquelle se tient le célèbre concours de piratages Pwn2Own où s’affrontent, pour la bonne cause, de nombreux pirates sur les logiciels du marché avec notamment les navigateurs web et systèmes d’exploitation. Nous avons appris hier que Google Chrome, navigateur de l’entreprise Google, réputé être l’un des plus sécurisé du marché, avait été piraté en à peine 5 minutes par les experts sécurités de chez Vupen Security.
Selon les explications qui ont été livrées par le groupe, leur méthode a consisté à contourner d’une part les sécurités Data Execution Prevention (DEP) et Address Space Layout Randomization (ASLR) et d’autre part à s’échapper du bac à sable qui a pour mission d’empêcher l’installation de logiciels malveillants sur l’ordinateur ou toute interaction entre les différents onglets du navigateur.
Vupen Security devrait donc toucher une part du million de dollars mis en jeu par Google pour pirater son navigateur. La récompense pourra aller de 60 000 dollars à 20 000 dollars suivant la sévérité de la/les failles trouvée(s) et exploitée(s) par Vupen Security.
Bien évidemment, Google Chrome n’est pas l’unique navigateur qui a succombé aux pirates puisque les autres navigateurs du marché n’ont pas forcément fait mieux, de Internet Explorer de Microsoft à Firefox de Mozilla en passant par Safari d’Apple.
Pour la majorité des éditeurs de logiciels, cette conférence est une mine d’or. Elle leur permet d’éprouver leur logiciel à moindre coût, d’éviter de voir des failles critiques être exploiter par des personnes malveillantes (car les pirates doivent obligatoirement dévoiler leur technique et comment ils ont réussi leur performance) pour ainsi proposer des logiciels de plus en plus sûrs !