COMPTOIR
  
register

Composé par ————— —— 16230 vues

La Pwn2Own 2016 a eu raison de tous les navigateurs et systèmes d'exploitation

pwned logoOn dit tous les navigateurs, mais il faut rappeler que Firefox ne participe pas à la Pwn2Own 2016, car ses organisateurs estiment qu'il n'a pas assez évolué sur le plan sécurité depuis 2015. Les différentes équipes se sont donc attaquées à Chrome (Google), Safari (Apple) et Edge (Microsoft), sous Windows (Microsoft) et OS X (Apple) avec Flash (Adobe) d'installé.

 

Comme d'habitude lors de cet événement qui regroupe des cadors en matière de détection de failles, tous les logiciels ont mis genoux à terre. Chrome s'en sort le mieux, ayant plié, mais uniquement via une faille qui a déjà été remontée à Google. Edge est tombé par deux fois, Safari trois fois et il y a eu pas mal de découvertes du côté des systèmes d'exploitation et de Flash (qui s'est montré fautif dans chacune des failles des navigateurs). Le petit logiciel bien connu d'Adobe est reparti de la Pwn2Own avec quatre nouvelles failles déclarées, OS X s'est vu gratifié de cinq nouveautés et pour Windows, l'addition grimpe à six. Chacune de ces failles a permis à l'attaquant d'obtenir des droits administrateur sur la machine, ce qui est une première pour la Pwn2Own. Vingt-et-une failles en tout, avec $460000 de gain pour les équipes en compétition, et des patchs qui vont très certainement rapidement sortir pour corriger le tir. Les plus curieux pourront s'intéresser aux deux vidéos qui suivent pour avoir un gros récapitulatif de ce qui s'est passé durant l'événement. (source : TrendMicro qui sponsorise la chose avec HP)

 

 

Un poil avant ?

Un Core i7-6660U chez Intel

Un peu plus tard ...

RE4HD : la rustine aux 2/3 complétés

Les 24 ragots
Les ragots sont actuellement
ouverts à tous, c'est open bar !
par Un ragoteur macagneur embusqué, le Mardi 22 Mars 2016 à 17h48  
 
$460000 de gain pour les équipes en compétition

En même temps, vu le prizepool, c'est peut-être plutôt parce que Firefox n'a pas les moyens qu'il est hors compèt.
par Armand Raynal, le Mardi 22 Mars 2016 à 14h39  
par TrexAverell le Mardi 22 Mars 2016 à 14h17
OK merci pour cette explication très détaillée. Ce qui m'intéresse surtout c'est de savoir si en migrant sur ubuntu avec firefox en navigateur je serai à l'abri des ransomwares et autres prises de contrôle en mode "admin"
Tu peux utiliser à peu près n'importe quelle distro & Firefox et oublier ces menaces, oui. Tout est toujours possible mais niveau probabilité on peut très certainement te considérer comme à l'abris.
Après si par hasard tu t'appels Snowden ou Bourne t'as intérêt à faire mieux qu'installer une distro
N'hésite pas à aller voir autre part qu'ubuntu. Les distros basées sur Arch profitent d'un dépot rempli de soft proprio( ) qui facilitent l'adaptation au changement que représente le passage à GNU/Linux. Manjaro & Antergos, par exemple, sont excellentes; Proches d'Ubuntu dans leur philosophie.

Sinon, d'habitude lorsque je parle sur ce sujet j'ai tendance à me faire lapider, très agréablement surpris de constater l'inverse
par TrexAverell, le Mardi 22 Mars 2016 à 14h17  
par Armand Raynal le Mardi 22 Mars 2016 à 12h15
C'est fondamentalement différent.
Avec un code ouvert, tout le monde a les plans de la serrure, mais personne n'a la clé.
Pour pouvoir trouver une faille dans des plans qui ont été corrigés & renforcés par toute la communauté, il faut être meilleur que toute la commu.
Par contre si les plans sont cachés ils n'y a que les membres de l'entreprise qui peuvent l'améliorer, colmater ses failles, et le rendre potentiellement inviolable; S'ils sont 'les meilleurs', personne ne pourra entrer. Mais il est vraisemblablement impossible réunir tous les meilleurs dans un seul groupe, une seule entreprise. Il y aura donc toujours quelqu'un pour y trouver une faille.
Sur ce point, le logiciel libre est supérieur dans sa conception.
Pour peu qu'un code libre soit populaire il sera toujours supérieur en terme de sécurité(ou même tout autre aspect , mais ce n'est pas le sujet) à ses équivalents proprio.
Fin voilà, pas nécessaire de faire participer des softs libres à ce genre d'évennement du coup
OK merci pour cette explication très détaillée. Ce qui m'intéresse surtout c'est de savoir si en migrant sur ubuntu avec firefox en navigateur je serai à l'abri des ransomwares et autres prises de contrôle en mode "admin"
par Vaark, le Mardi 22 Mars 2016 à 12h53  
par Armand Raynal le Mardi 22 Mars 2016 à 12h15
C'est fondamentalement différent.
Avec un code ouvert, tout le monde à les plans de la serrure, mais personne n'a la clé.
Pour pouvoir trouver une faille dans des plans qui ont été corrigés & renforcés par toute la communauté, il faut être meilleur que toute la commu.
Par contre si les plans sont cachés ils n'y a que les membres de l'entreprise qui peuvent l'améliorer, colmater ses failles, et le rendre potentiellement inviolable; S'ils sont 'les meilleurs', personne ne pourra entrer. Mais il est vraisemblablement impossible réunir tous les meilleurs dans un seul groupe, une seule entreprise. Il y aura donc toujours quelqu'un pour y trouver une faille.
Sur ce point, le logiciel libre est supérieur dans sa conception.
Pour peu qu'un code libre soit populaire il sera toujours supérieur en terme de sécurité(ou même tout autre aspect , mais ce n'est pas le sujet) à ses équivalents proprio.
Fin voilà, pas nécessaire de faire participer des softs libres à ce genre d'évennement du coup
QFT
par Vaark, le Mardi 22 Mars 2016 à 12h51  
par TheBlackPearl le Mardi 22 Mars 2016 à 10h55
Google, Microsoft, Apple et Adobe sont des participants pas les organisateurs.
J'ai regardé tes liens, mais n'ai pas réussi à trouver de réponse quant à "qui sont les organisateurs de l'event ?", et surtout "qui les paie ?", mais je n'avais pas le temps de trop fouiller non plus.
Dans l'absolu, il est tout à fait possible que la raison officielle, à savoir "Firefox est une passeoire, alors s'pas drôle de le hack" soit la vraie raison, et je sais que je suis parano mais j'essaie de me soigner.
Cela étant, vu les noms des entreprises "en compétition" lors de cette conv', soit que des géants du DRM, du data-mining, et du capitalisme, il est difficile de prendre tout ce qu'ils annoncent pour argent comptant.

J'demandais juste si quelqu'un avait plus d'infos quant à la véracité de cette affirmation comme quoi FF se fait pwn niveau sécurité par rapport à... flash ? Seriously ?
Par rapport à tous ceux incriminés, en fait.
par LeK, le Mardi 22 Mars 2016 à 12h34  
par Armand Raynal le Mardi 22 Mars 2016 à 12h15
C'est fondamentalement différent.
Avec un code ouvert, tout le monde à les plans de la serrure, mais personne n'a la clé.
Pour pouvoir trouver une faille dans des plans qui ont été corrigés & renforcés par toute la communauté, il faut être meilleur que toute la commu.
Par contre si les plans sont cachés ils n'y a que les membres de l'entreprise qui peuvent l'améliorer, colmater ses failles, et le rendre potentiellement inviolable; S'ils sont 'les meilleurs', personne ne pourra entrer. Mais il est vraisemblablement impossible réunir tous les meilleurs dans un seul groupe, une seule entreprise. Il y aura donc toujours quelqu'un pour y trouver une faille.
Sur ce point, le logiciel libre est supérieur dans sa conception.
Pour peu qu'un code libre soit populaire il sera toujours supérieur en terme de sécurité(ou même tout autre aspect , mais ce n'est pas le sujet) à ses équivalents proprio.
Fin voilà, pas nécessaire de faire participer des softs libres à ce genre d'évennement du coup
Bien dit et bien écrit ça!
par Armand Raynal, le Mardi 22 Mars 2016 à 12h15  
par TrexAverell le Mardi 22 Mars 2016 à 10h26
Le pauvre ignare que je suis ne voit pas de manchot dans la liste. Peut-on en déduire (si besoin est) que ces bêtes sont saines?
C'est fondamentalement différent.
Avec un code ouvert, tout le monde a les plans de la serrure, mais personne n'a la clé.
Pour pouvoir trouver une faille dans des plans qui ont été corrigés & renforcés par toute la communauté, il faut être meilleur que toute la commu.
Par contre si les plans sont cachés ils n'y a que les membres de l'entreprise qui peuvent l'améliorer, colmater ses failles, et le rendre potentiellement inviolable; S'ils sont 'les meilleurs', personne ne pourra entrer. Mais il est vraisemblablement impossible réunir tous les meilleurs dans un seul groupe, une seule entreprise. Il y aura donc toujours quelqu'un pour y trouver une faille.
Sur ce point, le logiciel libre est supérieur dans sa conception.
Pour peu qu'un code libre soit populaire il sera toujours supérieur en terme de sécurité(ou même tout autre aspect , mais ce n'est pas le sujet) à ses équivalents proprio.
Fin voilà, pas nécessaire de faire participer des softs libres à ce genre d'évennement du coup
par TheBlackPearl, le Mardi 22 Mars 2016 à 10h55  
par Vaark le Mardi 22 Mars 2016 à 10h19
Et les organisateurs sont Google, Microsoft, Apple, et Adobe, et ils disent "Mozilla suck en sécurité", et ils distribuent plein de sous à ceux qui trouvent des failles.
Mais tu as raison, il n'y a aucune raison que ces entreprises à but caritatif ne nous disent pas tout et n'agissent pas systématiquement en toute transparence.
Pardon d'avoir posé une question.
Google, Microsoft, Apple et Adobe sont des participants pas les organisateurs.
Sinon pour répondre à ta question dont je viens de comprendre son sens, il y a un prix fixé à l'annonce de l'évènement et les participants/équipes qui réussissent leurs attaques gagnent plus ou moins de points suivant le niveau de vulnérabilité qu'entraine la faille et c'est ces points qui vont déterminer l'argent gagné. Mozilla n'a donc aucun intérêt à ne pas y participer.

Plus d'infos à ces liens : http://community.hpe.com/t5/Security-Research/bg-p/off-by-on- software-security-blog et http://blog.trendmicro.com/
par TrexAverell, le Mardi 22 Mars 2016 à 10h26  
Le pauvre ignare que je suis ne voit pas de manchot dans la liste. Peut-on en déduire (si besoin est) que ces bêtes sont saines?
par Vaark, le Mardi 22 Mars 2016 à 10h19  
par TheBlackPearl le Mardi 22 Mars 2016 à 09h54
Oui, c'est bien les organisateurs qui choisissent qui participe ou non, pas Mozilla.
Et les organisateurs sont Google, Microsoft, Apple, et Adobe, et ils disent "Mozilla suck en sécurité", et ils distribuent plein de sous à ceux qui trouvent des failles.
Mais tu as raison, il n'y a aucune raison que ces entreprises à but caritatif ne nous disent pas tout et n'agissent pas systématiquement en toute transparence.
Pardon d'avoir posé une question.
par TheBlackPearl, le Mardi 22 Mars 2016 à 09h54  
par Vaark le Mardi 22 Mars 2016 à 09h40
La raison avancée par "les organisateurs de l'événement", ce qui est pourquoi je me permets de poser la question.
Oui, c'est bien les organisateurs qui choisissent qui participe ou non, pas Mozilla.
par Vaark, le Mardi 22 Mars 2016 à 09h40  
par TheBlackPearl le Mardi 22 Mars 2016 à 09h33
La raison de la non participation de Mozilla à cet évènement est donnée dans l'article.
La raison avancée par "les organisateurs de l'événement", ce qui est pourquoi je me permets de poser la question.