Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

PWNFEST : Safari, Edge et le Pixel sont tous tombés en moins d’une minute

Ce n'est pas encore ça

PWNFEST : Safari, Edge et le Pixel sont tous tombés en moins d'une minute

Le 15 novembre 2016 à 07h30

Lors de la nouvelle édition du concours PWNFEST, plusieurs systèmes, navigateurs et autres ont vu leurs défenses percées. Les résultats sont sensiblement différents du dernier, mais ont permis de révéler de nombreuses failles, toutes communiquées aux entreprises concernées.

Le concours, organisé par la société Vangelis, suit les mêmes objectifs globalement que Pwn2Own et sa déclinaison Mobile. Des équipes s’y affrontent et rivalisent pour percer les défenses des systèmes ou produits attaqués. Si l’exploitation des failles fonctionne et que la mission est réussie (en général prendre le contrôle), les vainqueurs remportent des sommes dépassant souvent les 100 000 dollars. Ces concours permettent en outre de montrer l’évolution des techniques et de révéler des failles inconnues.

Safari et Edge sont tombés en moins de 20 secondes

La version 2016 de PWNFEST a surtout propulsé sur le devant de la scène deux équipes, dont une constituée de membres des groupes de hackers Pangu et JH. Les premiers sont surtout connus du grand public pour leurs solutions de jailbreaking, même sur les dernières versions d’iOS. Cette équipe a réussi notamment à exploiter avec succès plusieurs failles dans Safari et à prendre le contrôle d’un Mac équipé de Sierra en 20 secondes, avec toutes les dernières mises à jour. Elle a ainsi empoché 100 000 dollars.

Le navigateur Edge a lui aussi été victime des hackers, mais par deux autres équipes différentes. La première n’était en fait constituée que d’une seule personne, le chercheur sud-coréen JungHoon Lee, mieux connu sous le pseudonyme Lokihardt. Il a réussi à percer les défenses d’Edge et à pouvoir exécuter du code à distance sur un Windows 10 64 bits mis à jour en seulement 18 secondes. Il est également parvenu à prendre le contrôle de VMware Workstation 12.5.1, récoltant 150 000 dollars.

Une minute pour contourner les défenses du Pixel

L’autre grande équipe, baptisée « 360 », s’en est prise elle aussi à Edge. Elle avait peaufiné sa technique pendant presque six mois, et s’appuyait sur une série de failles. Cependant, la démonstration n’a pas pu aboutir : dans son dernier Patch Tuesday, Microsoft a corrigé trois des failles impliquées. Les 30 heures dont disposait l’équipe n’ont clairement pas été suffisantes pour réviser la méthode. Trois failles bouchées sont autant de portes fermées.

L’équipe s’en est pris cependant avec succès à d’autres produits, notamment VMware Workstation 12.5.1 et Flash. Ce dernier, visé dans sa dernière version, n’a finalement tenu que 4 secondes. Mais elle a surtout attaqué le Pixel de Google. Une action attendue, puisque Adrian Ludwig, directeur de la sécurité pour Android, avait indiqué à Motherboard il y a deux semaines que les nouveaux smartphones étaient aussi bien protégés que les iPhone.

La méthode utilisée n’est pas encore connue, mais l’équipe 360 a réussi son pari. Ils ont pris le contrôle du Pixel en 60 secondes en exploitant deux failles de sécurité. Une fois passé les défenses, les hackers ont pu non seulement accéder à des informations personnelles comme les messages et les photos, mais également prendre le contrôle à distance de l’appareil, notamment pour piloter le Play Store. Ils ont empoché les 120 000 dollars.

Dans l'attente des correctifs

Toutes les sociétés éditrices de logiciels où des failles ont été trouvées ont été averties. Les méthodes utilisées ainsi que les détails des brèches de sécurité ne seront pas publiés avant que des correctifs aient été publiés. C’est notamment vrai pour Android, où le cycle des mises à jour impose une certaine attente.

On a ainsi pu voir récemment comment Google avait diffusé des correctifs pour 48 failles de sécurité pour Android. Il s’agissait cependant de brèches dont les constructeurs avaient été avertis un mois avant. Entre temps, la faille Dirty Cow avait été révélée, et son correctif ne faisait donc pas partie du lot, nécessitant d’attendre jusqu’en décembre, à moins d’une diffusion hors cycle.

Le concours PWNFEST ayant eu lieu en fin de semaine dernière, les deux failles utilisées contre le Pixel ne devraient donc être corrigées que dans les bulletins de début janvier.

Commentaires (58)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar



L’équipe s’en est pris cependant avec succès à d’autres produits, notamment VMware Workstation 12.5.1 et Flash.





Il est pas censé mourir en 2017 flash ?

votre avatar

Hé oui rien n’est invulnérable.



C’est quand même assez inquiétant ^^

votre avatar



Adrian Ludwig, directeur de la sécurité pour Android, avait indiqué à Motherboard il y a deux semaines que les nouveaux smartphones étaient aussi bien protégés que les iPhone



Et il avait raison, à une poignée de seconde près il est tombé aussi vite <img data-src=" />



Sinon le résultat de ce genre de concours est quand même sacrément inquiétant, que tous les appareils/OS/navigateurs soient vulnérables ça ne fait aucun doutes, qu’il faille souvent moins d’1 minute pour les faire tomber en revanche … <img data-src=" />

Les mecs ont un accès physique à la machine pour arriver à faire ça ou ils doivent bosser uniquement à distance ? (dans le 1er cas bon c’est un peu normal, dans le second c’est réellement effrayant)

votre avatar

Plutôt qu’inquiétant, c’est surtout une réalité : aucun système n’est sûr et ne le sera jamais. C’est plus cet aspect qu’il faudrait intégrer dans nos habitudes et surtout que les entreprises devraient comprendre !

votre avatar

J’ai un peu de mal à comprendre l’argument du temps ( « en 20 secondes » ) : J’imagine que les gars arrivent en ayant déjà découvert la ou les failles, avec leur exploit prêt à être exécuter… Donc ce temps n’a pas vraiment de sens non ? On ne sait pas combien de temps il ont réellement mis à trouver les failles et à les exploiter.

votre avatar

Est-ce qu’il faut un accès physique pour exploiter ce genre de faille ?



Ou une connexion à un site Web vérolé suffit ?



Sinon c’est assez inquiétant, surtout pour VMware. <img data-src=" />

votre avatar

C’est ce que j’allais dire. Ça serait comme parler d’un braquage de banque qui s’est déroulé en moins de X minutes, ok mais combien de temps de préparation (ceux qui ont joué à GTA V le savent <img data-src=" />) ? Et par qui ?

Ça laisse penser que ces systèmes sont des bouses de sécurité aux portes ouvertes.

La méthode également, on ne la saura pas avant que se soit patché mais en général dans cet événement c’est via un angle bien précis et avec accès physique au matos donc difficilement réalisable à grande échelle plus tard.

votre avatar







&nbsp;Guinnness a écrit :



Et il avait raison, à une poignée de seconde près il est tombé aussi vite <img data-src=" />&nbsp;





<img data-src=" />&nbsp;C’était un Mac, pas un iPhone <img data-src=" />


votre avatar

“Ils ont empêché les 120 000 dollars.” &gt; empoché j’imagine



+1 pour l’argument des secondes, on se croirait presque sur du clicbait “tu ne devineras jamais ce que ces hackers ont fait en 18secondes” 😄

votre avatar

Ça veut quand même dire que si tu laisses ton téléphone (par ex.) à leur portée pendant 20 sec. il peut être piraté. C’est pas un brute force qui mettra 10 jours pour y accéder.

votre avatar

C’est vrai, je n’y avais pas pensé sous cet angle <img data-src=" />

votre avatar







Athropos a écrit :



J’ai un peu de mal à comprendre l’argument du temps ( « en 20 secondes » ) : J’imagine que les gars arrivent en ayant déjà découvert la ou les failles, avec leur exploit prêt à être exécuter… Donc ce temps n’a pas vraiment de sens non ? On ne sait pas combien de temps il ont réellement mis à trouver les failles et à les exploiter.







C’est partiellement dit dans la news en tout cas concernant Edge (six mois de travail)

Mais je sui d’accord que dire qu’un browser/téléphone a été piraté en 20 secondes me semble juste ridicule alors qu’ils ont bossé dessus plusieurs mois !!


votre avatar

Comment ça ils ne révèlent pas les failles publiquement d’ici 7 jours ?! C’est Google qui doit être triste… <img data-src=" />

votre avatar

Une faille sur iPhone cela se paye 500 000 voir 1 Million de dollars donc ce n’est pas un concours à 100 000 qui va dévoilé les failles de l’iPhone.

votre avatar







Soriatane a écrit :



Une faille sur iPhone cela se paye 500 000 voir 1 Million de dollars donc ce n’est pas un concours à 100 000 qui va dévoilé les failles de l’iPhone.





nextinpact.com Next INpact&nbsp;<img data-src=" />


votre avatar

C’est cool, Google est prévenu un mois à l’avance des failles par contre les autres se prennent une mise en scène des failles….

&nbsp;Et apres, Google va nous dire que son navigateur est le plus sécurisé….

votre avatar

Comme déjà dit par Cadegenere, l’argument des “Moins de 20 secondes” c’est&nbsp;principalement pour mettre en avant &nbsp;que les techniques utilisées ne passent pas par du brutforce et ne sont pas longues à mettre en œuvre.

Sinon, c’est assez clair que les équipes ont bossées des mois sur les failles avant de pouvoir les exploiter … Ou pas dans le cas de l’équipe&nbsp;360 dont l’exploit utilisait des failles qui ont été corrigées entre-temps. &nbsp;

votre avatar

Pour ceux qui se demandent ce qu’ils avaient le droit de faire pour attaquer un système/logiciel, un peu de lecture






&nbsp;

votre avatar

Les navigateurs web sont devenus des operating-system au dessus de l’operating-system. Et comme le monde informatique n’apprend que très rarement de ses erreurs passées, on retrouve les mêmes problèmes inhérents aux OS: complexité, performance, isolation, … et toutes les failles de sécurité qui en découlent.

votre avatar

C’est ce qui est expliqué dans le paragraphe de l’équipe 360. Ils cherchent pendant des mois, c’est une activité à plein temps j’imagine. Après c’est un manque de bol si la faille est corrigée juste avant le concours, mais si ce n’est pas le cas, il suffit de reproduire un scénario qu’ils connaissent sur le bout des doigts.

votre avatar

Et du coup, plus que l’invulbérabilité, c’est le (faible) temps de réaction pour corriger les failles qui indique si un système est sur ou non.

votre avatar

Si j’en crois l’article, les hackers ont eu des moins pour se préparer aussi.



C’est la démonstration finale qui n’a duré que qq secondes.

votre avatar

C’est parce que vous êtes du mauvais côté de l’argument, si j’achète un passe partout j’en ai rien à battre qu’il ai fallu 6 mois pour le fabriquer, par contre que ça prenne 1 minute pour ouvrir un coffre fort ou une bagnole ça c’est important pour son utilisation.

&nbsp;Il ne faut pas oublier qu’il n’y a pas que des white/grey hats et que ce temps compte dans une stratégie d’attaque. Et donc potentiellement se dire que pour se défendre la fenêtre de tire est extrêmement réduite dans ces cas là.

votre avatar







Edtech a écrit :



Comment ça ils ne révèlent pas les failles publiquement d’ici 7 jours ?! C’est Google qui doit être triste… <img data-src=" />





+1



Deux poids, deux mesures…

Le gentil google donneur de leçon à le droit de prendre son temps. le vilain Microsoft doit se dépêcher.


votre avatar

Pas d’accès physique, uniquement le lancement d’une URL… Attention aux sites visités !



“&nbsp;the demonstration must be finished during the process of viewing the contestant controlled website by using a browser (the default one, if it’s not specified); besides this, any other user interaction is not allowed. The only thing allowed is to enter the URL on browser interface and navigate to it. ”

http://pwnfest.org/RuleOfPwnfest.pdf

&nbsp;

&nbsp;

votre avatar



sont tous tombés en moins d’une minute



Titre ridicule étant donné que le temps d’exécution de la faille n’a aucun intérêt hormis d’occulter le temps qu’ont mis les hackers pour trouver et exploiter la faille, qui se prépare avant et met souvent des mois.

votre avatar

Cette politique ne concerne que les failles trouvées dans le cadre du Project Zero chez Google. Ce ne me semble pas choquant qu’en dehors de ce projet, cette politique ne s’applique pas. L’équipe de Zero gère ses deadlines et sa politique comme elle l’entend.

votre avatar

Le problème n’est pas seulement localisé dans le système mais également dans les outils pour les créer. Un compilateur qui produit du code faillible est tout autant responsable. C’est pas forcément la faute au développeur du système. En tout cas pas seulement. Ce ne serait pas la première fois qu’on voit passer des papier qui préconisent d’utiliser une syntaxe spécifique pour éviter une faille… <img data-src=" />



C’est pour ça que je suis un peu opposé à la foultitude de langage défendus par des profs d’info à la con et / ou des boites qui cherchent a laisser une marque. Réduire un peu le nombre de langage permettrai d’y voir un peu plus clair et de mieux maitriser les canaux d’intrusion. Ça reste a double tranchant pendant un temps. Si un langage avait un problème tout le monde l’aurait (un peu comme Android hein). Le correctif serait toutefois plus prompt a venir (on voit de suite on peut corriger de suite et il y a moins de cible).&nbsp; Ça reste clairement mieux au final. Mais bon ce serait un monde qui ne marche pas sur la tête… bon voila.

&nbsp;



&nbsp;

votre avatar

Merci de lire les précédents commentaires.

Le temps d’exécution est très important, car cela veut dire qu’un e-mail envoyé avec une URL sur les quels les gens cliquent, leur permet d’avoir le contrôle en moins d’une minute.

En gros en une journée avec un bon phishing tu peux avoir des dizaines de millier de machine en mode bot.

votre avatar







Natsume a écrit :



Si j’en crois l’article, les hackers ont eu des moins pour se préparer aussi.



C’est la démonstration finale qui n’a duré que qq secondes.



Ouais la course à la seconde est débile dans ce cas. Une fois que l’exploit est prêt, c’est facile de le faire tourner. On devrait plutôt parler du temps que les équipes ont mis pour trouver les failles et un moyen de les exploiter…


votre avatar







devyg a écrit :



aucun système n’est sûr et ne le sera jamais.





Pitié … Heureusement qu’on est foutu de construire des systèmes sûrs. Les vrais questions c’est les conditions de sûreté, son coût et l’environnement de déploiement.


votre avatar

relire plus haut (entre les commentaires de bogomips et manus) ;)

je rajouterais que, dans le cadre de l’attaque en phishing, une attaque qui prend 1min nécessite que la victime reste aussi longtemps sur le site, c’est plus difficile de faire rester 1min que 20s ;)

votre avatar







manus a écrit :



Merci de lire les précédents commentaires.





Oui, mea culpa, mobile, toussa <img data-src=" />





Le temps d’exécution est très important, car cela veut dire qu’un e-mail envoyé avec une URL sur les quels les gens cliquent, leur permet d’avoir le contrôle en moins d’une minute.



La compréhension d’un titre l’est encore plus pour un article de presse. Mettre ça dns le titre reste une connerie à mes yeux, parce que la première chose à laquelle on pense c’est qu’il a fallu x secondes pour trouver la faille.



votre avatar

ils ont refait un remake de “Gone in 60 seconds” avec le Pixel ?

votre avatar







H4rvester a écrit :



Cette politique ne concerne que les failles trouvées dans le cadre du Project Zero chez Google. Ce ne me semble pas choquant qu’en dehors de ce projet, cette politique ne s’applique pas. L’équipe de Zero gère ses deadlines et sa politique comme elle l’entend.





mmhhhh. cette politique est surtout appliquée quand ça l’arrange par Google !

il y a des failles 0 day chez google qui ne sont pas corrigées en quelque sjours non plus hein.

c’est facile de se cacher derriere “ho mais on distribue android mais les autres jouent pas le jeu pour mettre à jour” .



Et puis, dans le cas qui nous interesse ici, ne peut on pas considérer ces failles comme 0 day puisqu’elles sont été utilisées ? :)


votre avatar







Nioniotte a écrit :



Hé oui rien n’est invulnérable.



C’est quand même assez inquiétant ^^



+1





devyg a écrit :



Plutôt qu’inquiétant, c’est surtout une réalité : aucun système n’est sûr et ne le sera jamais. C’est plus cet aspect qu’il faudrait intégrer dans nos habitudes et surtout que les entreprises devraient comprendre !



Que veux-tu qu’elles comprennent? Bon après tout passe par des navigateurs, ça veut donc dire que sur un serveur, s’il ‘y a pas de navigateur, il est plus en sécurité (enfin ça rend les choses plus complexes)





Athropos a écrit :



J’ai un peu de mal à comprendre l’argument du temps ( « en 20 secondes » ) : J’imagine que les gars arrivent en ayant déjà découvert la ou les failles, avec leur exploit prêt à être exécuter… Donc ce temps n’a pas vraiment de sens non ? On ne sait pas combien de temps il ont réellement mis à trouver les failles et à les exploiter.



Moi ce que j’en comprends, c’est qu’une fois qu’ils ont mis au point leur méthode, la prise de contrôle d’une machine ne prend que 20 secondes, ce qui signifie que c’est une arme puissante, difficile à contrer. Et l’utilisateur n’a rien le temps de voir!

Peu importe que ça leur ait demandé 6 mois de boulot, ce qui compte c’est le résultat. C’est un peu comme le développement d’une arme nucléaire: peu importe que ça ait mis des décénies, ce qui compte c’est que tu saches la construire, et son efficacité.

&nbsp;


votre avatar

Pour agir aussi vite je suppose que les hackers avaient bien préparé leurs coups et savaient à l’avance ce qu’ils allaient faire mais, tout de même, cette facilité permet de subodorer que ces failles n’ont rien d’exceptionnelles et qu’il suffit de se servir. C’est assez inquiétant.

votre avatar

Qui pour le fichier TES inviolable de Bernard piraté en moins de 10sec? <img data-src=" />

votre avatar

Ok, j’ai rien dit.<img data-src=" />

votre avatar

Ils devraient faire pareil pour les objets connectés, c’est l’avenir des bots.

votre avatar







Athropos a écrit :



J’ai un peu de mal à comprendre l’argument du temps ( « en 20 secondes » ) : J’imagine que les gars arrivent en ayant déjà découvert la ou les failles, avec leur exploit prêt à être exécuter… Donc ce temps n’a pas vraiment de sens non ? On ne sait pas combien de temps il ont réellement mis à trouver les failles et à les exploiter.







  • 1


votre avatar







Edtech a écrit :



Comment ça ils ne révèlent pas les failles publiquement d’ici 7 jours ?! C’est Google qui doit être triste… <img data-src=" />





Mais…. c’est pas pareil, avec eux, faut pas être méchant <img data-src=" />



&nbsp;<img data-src=" />


votre avatar







ProFesseur Onizuka a écrit :



Qui pour le fichier TES inviolable de Bernard piraté en moins de 10sec? <img data-src=" />





<img data-src=" />


votre avatar







Athropos a écrit :



J’ai un peu de mal à comprendre l’argument du temps ( « en 20 secondes » ) : J’imagine que les gars arrivent en ayant déjà découvert la ou les failles, avec leur exploit prêt à être exécuter… Donc ce temps n’a pas vraiment de sens non ? On ne sait pas combien de temps il ont réellement mis à trouver les failles et à les exploiter.





Parce que certains hacks prennent du temps, comme ceux qui permettent de trouver la clé WEP d’une connexion wifi par ex. Ca demande d’écouter un certain nombre de données avant d’avoir assez d’infos pour cracker l’ensemble. Idem sur certains mots de passe où tu dois faire de la brute force en temps “raisonnable”.


votre avatar







devyg a écrit :



Plutôt qu’inquiétant, c’est surtout une réalité : aucun système n’est sûr et ne le sera jamais. C’est plus cet aspect qu’il faudrait intégrer dans nos habitudes et surtout que les entreprises devraient comprendre !





OpenBSD


votre avatar

J’ai toujours un OPO (que je me sers pour jouer) sous Cyanogen OS avec MM et le patch de septembre. J’ai l’impression que s’en est fini des mises à jour pour cet appareil ?



Et après on s’étonne que les gens achètent des iPhone… Au moins y a 4 ans de mises à jour.



<img data-src=" />

votre avatar

Au delà des résultats annoncés ici, le concours proposait aussi des prix pour “Apple iOS 10 + iPhone 7 Plus” et “Windows Server 2016 + Hyper V”.&nbsp;

Pas de&nbsp;succès dessus, doit on en conclure que ces systèmes ne sont PAS tombés et donc ici plutôt sécurisé?

&nbsp;

Je viens d installer Windows Server 2016 sur des VM, il est sur le même kernel que Win 10 1607, et lui ressemble fortement, mais plus spécifiquement proche de Win10 &nbsp;LTSB, cad sans Store, sans UWP, sans Cortana, sans Edge (IE11 par défaut seulement), mais avec le menu démarrer, les nouveaux parametres (où tous les settings privacy sont off par défaut), etc.

votre avatar







EricB a écrit :



Pas de&nbsp;succès dessus, doit on en conclure que ces systèmes ne sont PAS tombés et donc ici plutôt sécurisé? 



&nbsp;






Pour moi, tu peut en conclure que t’est plus EN sécurité. C’est à dire qu’à minima, on pourrait en conclure qu’aucune équipe n’as eu le temps de trouver assez de vulnérabilité à exploiter.


votre avatar

Pourquoi supposes tu ? ^^

C’est le but du concours de trouver et d’exploiter des failles (aussi bien dans l’intérêt de l’équipe que de l’éditeur) donc les organisateurs laissent les équipes venir avec leur matos pour augmenter les probabilités d’avoir des failles croustillantes à se mettre sous la dent. Les équipes sont en compétitions les une avec les autres et il y a de l’argent en jeu donc elles n’y vont pas en ayant rien préparée surtout quand un éditeur peut faire des mises à jour peu de temps avant le concours. Nous ne sommes pas dans un film où le gars se pointe avec sa bi et son couteau et pirate la NSA.

votre avatar

Roh la faille VMWare qui permet d’attaquer l’host à partir du guest !

<img data-src=" />

votre avatar
votre avatar

Comme dit et repete plus haut, ce sont des intrusions a la base, c’est donc nomal que leur efficacite soit mesuree en unite de temps, peut importe la preparation parce qu’une fois la methode connue on s’en tamponne de savoir combien de temps il a fallu gamberger pour la pondre.



Et savoir qu’une serie de systemes/appareils a jour tombent en moins d’une minute devrait au contraire renforcer l’idee qu’etre a jour n’est aucunement une garantie de securite.

votre avatar

Donc quand Google trouve un faille dans Windows, ils publient la faille au bout de 7 jours, par contre quand Google trouve une faille dans Android, ils la publient 1 mois après le correctif (qui lui même prend souvent plusieurs mois à arriver quand ça touche une lib un peu sensible, cf les année 20142015 bourrées d’exemples).



Comment j’aurais attaqué en justice si j’étais M$…

votre avatar

Et encore le mot “hacker” utilisé à mauvais escient….

Du coup on vous appellent des blogueurs à la place de journalistes ?

votre avatar

Tu sais que les 2 sens sont valides (programmation et sécurité) même si le plus ancien est la programmation ?

votre avatar

Nope c’est par abus de langage que l’on utilise le mot hackers à tort. Un cracker pirate, un hacker “optimise”.

votre avatar







Mr.Nox a écrit :



Nope c’est par abus de langage que l’on utilise le mot hackers à tort. Un cracker pirate, un hacker “optimise”.





Ça serait pas plutôt le pirate qui a pour but de faire du mal, et le hacker qui a pour but d’aider ?

Chez moi le cracker est une marque de biscuits salés.


votre avatar

Non le cracker est bien le pirate. Après il y a différentes sensibilités, white/grey/black hat de celui qui pirate mais aide à résoudre à celui qui fait ça pour le profit.

PWNFEST : Safari, Edge et le Pixel sont tous tombés en moins d’une minute

  • Safari et Edge sont tombés en moins de 20 secondes

  • Une minute pour contourner les défenses du Pixel

  • Dans l'attente des correctifs

Fermer