En marge de la conférence de sécurité informatique CanSecWest qui se tenait à Vancouver au Canada il y a une semaine, Google Chrome a montré ses premières failles. Au cours de deux concours de hacking, le navigateur est tombé à trois reprises... Une première en quatre ans. Jusqu’à présent
Google Chrome semblait imperméable aux attaques des hackers. C’est la fin d’une époque, puisque des pirates informatiques ont percé les défenses du navigateur lors de deux concours. Ces derniers se déroulaient en marge de la conférence de sécurité informatique
CanSecWest, qui se tenait en fin de semaine dernière à Vancouver au Canada. Alors qu’
Internet Explorer,
Safari et
Firefox tombaient chaque année sous les assauts des
hackers lors de cette manifestation,
Chrome s’en était sorti à chaque fois indemne. Pour commencer, c’est lors du
Pwn2Own, un concours prestigieux de
hacking, que
Vupen, une société de sécurité informatique française, est parvenue à percer le blindage de
Chrome.
En plus du Pwn2Own, un autre concours baptisé Pwnium et financé par Google se tenait en marge du CanSecWest.
Durant celui-ci deux jeunes hackers ont mis en évidence cinq failles du navigateur.
Ils ont été récompensés par Google à hauteur de 60.000 dollars chacun.
© Pwnium |
Après six semaines de travail en amont de l'événement, ces spécialistes ont seulement mis quelques minutes à démontrer les limites du navigateur de
Mountain View.
« Via la consultation d'une page Web piégée et sans interaction de la part de l'utilisateur, deux failles ont été exploitées de manière à prendre le contrôle d'un ordinateur équipé de Windows 7 », a expliqué le cofondateur de Vupen, Chaouki Bekrar, à notre confrère américain
ZDNet. N’en déplaise à
Google, les auteurs de cet exploit n’en disent pas plus sur les failles qu’ils ont exploitées pour parvenir à leurs fins. Il semblerait toutefois qu’ils aient profité de la faiblesse conférée par un composant
Flash pour passer outre la protection du
sandbox ou
« bac à sable », le dispositif du navigateur qui empêche l'installation de logiciels malveillants sur l’ordinateur.
Google défie les hackers Mais depuis un an,
Google finance de son côté un second concours, le
Pwnium. Contrairement au
Pwn2Own, le géant de la recherche en ligne a, en effet, préféré
Pwnium, car ses gagnants doivent révéler quelles sont les failles qu’ils ont exploitées. Une façon peu onéreuse et efficace pour
Google de sécuriser son navigateur… Pour ce second concours, c’est Sergey Glazunov, un étudiant russe, qui a empoché une prime de 60.000 dollars, soit 45.000€. Lui aussi est parvenu à contourner la protection du
sandbox, et ceci, en se faufilant au travers de deux
bugs du navigateur.
Chaouki Bekrar et ses compères de Vupen, une société de sécurité informatique française, ont démontré
les limites de Google Chrome, la semaine dernière à Vancouver, lors du concours de hacking Pwn2Own.
© Vupen blessé ? Sundar Pichai, vice-président de
Google en charge de
Chrome, s’en félicite et a immédiatement réagi sur
son profil Google+:
« Nous travaillons vite à un correctif qui sera appliqué par une mise à jour automatique. » Chose faite depuis, avec la version
17.0.963.78 de
Chrome. Depuis, trois autres failles ont été mises en évidence par un adolescent connu sous le pseudo de
Pinkie Pie. Lui aussi a contourné le
sandbox et empoché 60.000 dollars de primes. Ironie de l’histoire, ce jeune
hacker avait présenté sa candidature à
Google qui l’avait ignorée…
*
CanSecWest 2012*
Pwn20wn*
ZDNet*
VupenPar Sylvain Biget, Futura-Sciences, le 14 mars 2012
Source
Actualité Futura-Sciences: http://www.futura-sciences.com/fr/news/t/internet/d/la-securite-de-google-chrome-mise-a-mal-lors-dun-concours-de-hacking_37418/
Accueil 
