Au premier jour du concours de hacking, les navigateurs d’Apple et Microsoft n’ont pas résisté tandis qu’aucun prétendant ne s’est aligné pour battre celui de Google.L'édition 2011 de la CanSecWest (du 9 au 11 mars) a débuté hier avec la cinquième édition du concours de hacking Pwn2own. Objectif de cette première journée : s'attaquer aux navigateurs Internet.
Premières cibles désignées, Internet Explorer 8 et Safari. Le premier a été vaincu par le chercheur en sécurité Stephen Fewer (Harmony Security). Il a exploité trois failles de sécurité pour parvenir à prendre le contrôle du navigateur puis de Windows 7 SP1 (64 bits). Une performance que lui a demandé six semaines de travail préparatoire. Contrairement à Safari, Chrome et Firefox, IE8 n'avait pas eu droit à une mise à jour de sécurité avant le concours.
Safari 5 n'aura justement pas résisté bien longtemps. En 5 secondes, les chercheurs de la société française VUPEN ont forcé ses défenses et pris le contrôle de Mac OS X 10.6.6. Trois chercheurs ont travaillé durant deux semaines pour réaliser cette attaque. Safari 5 avait lui aussi été « patché » peu de temps avant le concours.
Déjà épargné l'année dernière faute de concurrents prêt à relever le défi, Chrome a une fois encore gagné par forfait. Le chercheur inscrit pour venir présenter une attaque sur le navigateur ne s'est pas montré. Il se pourrait que la mise à jour de dernière minute et comportant 19 failles colmatées ait rendu l'attaque inopérante. Google avait offert 20 000 dollars supplémentaires à quiconque vaincrait Chrome. Aujourd'hui viendra le tour de Firefox qui a lui aussi eu droit à un ultime correctif avant le concours.
