au sommaire
Chaouki Bekrar et ses compères de Vupen, une société de sécurité informatique française, ont démontré les limites de Google Chrome, la semaine dernière à Vancouver, lors du concours de hacking Pwn2Own. © Vupen
En marge de la conférence de sécurité informatique CanSecWest qui se tenait à Vancouver (Canada) il y a une semaine, GoogleGoogle Chrome a montré ses premières failles. Au cours de deux concours de hacking, le navigateur est tombé à trois reprises... Une première en quatre ans.
Jusqu'à présent Google Chrome semblait imperméable aux attaques des hackers. C'est la fin d'une époque, puisque des pirates informatiques ont percé les défenses du navigateur lors de deux concours. Ces derniers se déroulaient en marge de la conférence de sécurité informatique CanSecWest, qui se tenait en fin de semaine dernière à Vancouver (Canada).
Alors qu'Internet Explorer, Safari et Firefox tombaient chaque année sous les assauts des hackers lors de cette manifestation, Chrome s'en était sorti à chaque fois indemne.
Pour commencer, c'est lors du Pwn2Own, un concours prestigieux de hacking, que Vupen, une société de sécurité informatique française, est parvenue à percer le blindage de Chrome. Après six semaines de travail en amont de l'événement, ces spécialistes ont seulement mis quelques minutes à démontrer les limites du navigateur de Mountain View. « Via la consultation d'une page Web piégée et sans interaction de la part de l'utilisateur, deux failles ont été exploitées de manière à prendre le contrôle d'un ordinateur équipé de Windows 7 », a expliqué le cofondateur de Vupen, Chaouki Bekrar, à notre confrère américain ZDNet.
En plus du Pwn2Own, un autre concours baptisé Pwnium et financé par Google se tenait en marge du CanSecWest. Durant celui-ci deux jeunes hackers ont mis en évidence cinq failles du navigateur. Ils ont été récompensés par Google à hauteur de 60.000 dollars chacun. © Pwnium
N'en déplaise à Google, les auteurs de cet exploit n'en disent pas plus sur les failles qu'ils ont exploitées pour parvenir à leurs fins. Il semblerait toutefois qu'ils aient profité de la faiblesse conférée par un composant FlashFlash pour passer outre la protection du sandbox (« bac à sablesable »), le dispositif du navigateur qui empêche l'installation de logiciels malveillants sur l'ordinateur.
Google défie les hackers
Mais depuis un an, Google finance de son côté un second concours : le Pwnium. Contrairement au Pwn2Own, le géant de la recherche en ligne a, en effet, préféré Pwnium, car ses gagnants doivent révéler quelles sont les failles qu'ils ont exploitées. Une façon peu onéreuse et efficace pour Google de sécuriser son navigateur... Pour ce second concours, c'est Sergey Glazunov, un étudiant russe, qui a empoché une prime de 60.000 dollars (45.000 euros). Lui aussi est parvenu à contourner la protection du sandbox, et ceci, en se faufilant au travers de deux bugsbugs du navigateur.
Chrome blessé ? Sundar PichaiSundar Pichai, vice-président de Google en charge de Chrome, s'en félicite et a immédiatement réagi sur son profil Google+ : « Nous travaillons vite à un correctif qui sera appliqué par une mise à jour automatique ». Chose faite depuis, avec la version 17.0.963.78 de Chrome.
Depuis, trois autres failles ont été mises en évidence par un adolescent connu sous le pseudo de Pinkie Pie. Lui aussi a contourné le sandbox et empoché 60.000 dollars de primes. Ironie de l'histoire, ce jeune hacker avait présenté sa candidature à Google qui l'avait ignorée...