Concours Pwn2own : Internet Explorer et Safari vaincus, Chrome gagne par forfait

Au premier jour du concours de hacking, les navigateurs d’Apple et Microsoft n’ont pas résisté tandis qu’aucun prétendant ne s’est aligné pour battre celui de Google.



L'édition 2011 de la CanSecWest (du 9 au 11 mars) a débuté hier avec la cinquième édition du concours de hacking Pwn2own. Objectif de cette première journée : s'attaquer aux navigateurs Internet.

Premières cibles désignées, Internet Explorer 8 et Safari. Le premier a été vaincu par le chercheur en sécurité Stephen Fewer (Harmony Security). Il a exploité trois failles de sécurité pour parvenir à prendre le contrôle du navigateur puis de Windows 7 SP1 (64 bits). Une performance que lui a demandé six semaines de travail préparatoire. Contrairement à Safari, Chrome et Firefox, IE8 n'avait pas eu droit à une mise à jour de sécurité avant le concours.

Safari 5 n'aura justement pas résisté bien longtemps. En 5 secondes, les chercheurs de la société française VUPEN ont forcé ses défenses et pris le contrôle de Mac OS X 10.6.6. Trois chercheurs ont travaillé durant deux semaines pour réaliser cette attaque. Safari 5 avait lui aussi été « patché » peu de temps avant le concours.

Déjà épargné l'année dernière faute de concurrents prêt à relever le défi, Chrome a une fois encore gagné par forfait. Le chercheur inscrit pour venir présenter une attaque sur le navigateur ne s'est pas montré. Il se pourrait que la mise à jour de dernière minute et comportant 19 failles colmatées ait rendu l'attaque inopérante. Google avait offert 20 000 dollars supplémentaires à quiconque vaincrait Chrome. Aujourd'hui viendra le tour de Firefox qui a lui aussi eu droit à un ultime correctif avant le concours.