Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Pwn2Own 2014 : tous les navigateurs sont encore tombés cette année

Firefox, le souffre-douleur

Pwn2Own 2014 : tous les navigateurs sont encore tombés cette année

Le 17 mars 2014 à 10h50

Comme chaque année, le concours Pwn2Own invite les experts en sécurité du monde entier à venir tester leurs connaissances informatiques dans un but bien précis : percer les défenses des navigateurs. L’édition 2014 n’aura pas échappé d’ailleurs à la règle puisque tous ont vu leurs défenses percées.

navigateurs piratage securite pwn2own

Tous les navigateurs sont tombés 

L’édition 2014 du concours Pwn2Own réunissait comme d’habitude des équipes venues s’affronter sur le terrain des failles de sécurité. Objectif ultime : percer les défenses des navigateurs pour obliger, si possible, le système d’exploitation à déclencher un code arbitraire. Il est de tradition qu’aucun navigateur ne puisse sortir « vivant » de ce concours, et la nouvelle édition n’a pas fait exception. Malheureusement, certains en ont fait les frais plus que d’autres.

 

Le concours Pwn2Own est co-organisé par Google et HP, via sa Zero Day Initiative (ZDI). Le ton avait été donné dès le début puisque Google a inauguré la compétition en jetant à bas les défenses d’un Safari 7 sur un Mac équipé d’un Mavericks entièrement mis à jour, provoquant le lancement de la Calculette. Même chose pour Internet Explorer 11 sur un Windows 8.1 x64 lui aussi parfaitement à jour : l’équipe de ZDI a réussi à faire lancer la calculatrice en mode scientifique par le système. Dans les deux cas, cela impliquait un contournement de la sandbox.

De George Hotz aux français de VUPEN 

Mais même si tous les navigateurs ont fini par tomber, c’est tout de même Firefox qui aura le plus subi les attaques des experts réunis pour l’occasion. Le navigateur de Mozilla a en effet été violenté à quatre reprises, dont une fois par George Hotz. Si le nom vous semble familier, c’est qu’il s’agit du fameux développeur qui avait créé des jailbreaks pour la PlayStation 3 et iOS et avait notamment été poursuivi par Sony. Dans tous les cas, l’exploitation des failles a conduit soit à une exécution de code, soit à une élévation de privilèges.

 

On signalera également qu’une équipe en particulier ressort une nouvelle fois grandie de ce concours : les français de VUPEN. Ils ont absorbé à eux seuls plus d’un tiers des récompenses (dont le total avoisinait tout de même les 850 000 dollars). Ils ont remporté une belle série de victoires, enchainant les navigateurs (Chrome, Firefox et Internet Explorer) avec les plug-ins que sont Flash et Reader, tous deux provenant d’Adobe. Les cinq attaques ont abouti à chaque fois à une exécution de code arbitraire. L’équipe était même venue selon elle avec vingt failles 0day et n’en a utilisé que onze.

Personne n'a tenté de défaire Internet Explorer 11 avec EMET 

Mais même si Google est co-organisateur de l’événement, la société a montré que les défenses de Safari n’étaient pas parfaites et souhaite visiblement que Chrome apparaisse comme une solution parfaitement sécurisée, le navigateur est tombé presque deux fois. « Presque » car la première attaque de VUPEN a fonctionné, tandis que la seconde, effectuée par un participant anonyme, n’a reçu qu’une victoire partielle car elle était basée sur une vulnérabilité déjà connue. Par ailleurs, l’attaque de VUPEN a été créditée de 150 000 dollars à elle seule car elle comportait un avantage évident : elle était valable sur tous les navigateurs embarquant les moteurs de rendu Webkit et Blink. De fait, et même si cela n’a pas été tenté, Opera doit donc lui aussi être vulnérable.

 

Il est en outre important de préciser que toutes les épreuves n’ont pas été tentées. Il en est restée ainsi une qui n’a semblé attirer personne : Internet Explorer 11 avec EMET. Ce dernier, qui signifie Enhanced Mitigation Experience Toolkit, est un kit permettant d’activer, voire de forcer certaines protections.

 

Évidemment, toutes les failles exploitées ont été remontées à leurs éditeurs respectifs. Google est particulièrement intéressé par les résultats du concours puisque toute faille affectant Chrome touche également Chrome OS. Dans tous les cas, le travail mené par les experts devrait provoquer une arrivée de patchs correctifs rapidement dans les prochaines moutures des navigateurs et des plug-ins utilisés.

Commentaires (81)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

J’aime beaucoup le concept de ce genre d’évènement.

Utiliser l’expérience du plus grand nombres d’experts externes pour améliorer la sécurité de son produit. Le tout en offrant des récompenses suffisament élevées pour appâter le chaland.

Si ces évènements étaient bien plus répandus et fréquents (les géants du net ont une trésorie suffisante pour les récompenses), nombreux seraient les black hats tentés par un basculement vers le côté “clair” de la force.

Bien que nombreux étant ceux possèdant les 2 “chapeaux”.

votre avatar







jmanici a écrit :



[quote:4956226:GoGator]J’essaye de comprendre… en gros si moi, pauvre péon qui ne comprend pas un traître mot de code, j’installe ce pack EMET sur un windows équipé d’IE à jour, j’empêche l’immense majorité des hack disponibles de mon pc à travers le navigateur, c’est ça ?

En contrepartie, y’a des concessions à faire pour la navigation ? (lenteur, scripts bloqués,… ?)



De ce que j’en ai compris jusque-là, ça a l’air d’être un super outil à installer chez toutes les entreprises / inconscients /… pour évite les menaces non ?







oui exactement.

ça ressemble à un scam ou une promesse absurde, mais oui EMET ameliore la securité significativement, et sans contrepartie (pas de diminition des perfs).



le seul risque c’est si tu utilises des vieux plugins incompatibles.

EMET provoquera des plantages aléatoires du navigateur dans ce cas (suffit dans ce cas de desactiver ces plugins, ou virer EMET)



mais si tu es un particulier, il n’y a aucune raison que tu aies des vieux plugins non compatibles avec EMET.



flash, silverlight, adobe reader, java, tout fonctionne correctement avec EMET.



et les navigateurs autres que IE aussi.[/quote]

<img data-src=" /> Je vais regarder cela aussi


votre avatar







FunnyD a écrit :



Pff les pirates tout moisis, ils démarrent la calculatrice <img data-src=" />, moi j’te pirate ton compte facebook quand tu veux <img data-src=" />







Come at me Bro <img data-src=" />



Wait, j’ai pas de Facebook.



Le meilleur moyen de pas se faire infecter c’est de savoir comment les virus fonctionnent. Et encore… J’ai faillit manger un ZeroAccess après une fausse manip <img data-src=" /> (raa, rip de souris)


votre avatar

Alors, les rumeurs parle de failles liées au générateur des objets c++ (donc du compilateur), c’est celles-ci qui ont été utilisées?

votre avatar



Le navigateur de Mozilla a en effet été violenté à quatre reprises, dont une fois par George Hotz.





Bonsang ! Mais que fait la Ligue de protection des browsers© ?! <img data-src=" />

votre avatar



Par ailleurs, l’attaque de VUPEN a été créditée de 150 000 dollars à elle seule car elle comportait un avantage évident : elle était valable sur tous les navigateurs embarquant les moteurs de rendu Webkit et Blink. De fait, et même si cela n’a pas été tenté, Opera doit donc lui aussi être vulnérable.



Putain non seulement il est pas invité, mais en plus il se fait tabasser quand même… Toutes mes condoléances aux familles. <img data-src=" />

votre avatar







RaoulC a écrit :



Come at me Bro <img data-src=" />



Wait, j’ai pas de Facebook.



Le meilleur moyen de pas se faire infecter c’est de savoir comment les virus fonctionnent. Et encore… J’ai faillit manger un ZeroAccess après une fausse manip <img data-src=" /> (raa, rip de souris)





Simple, je te créé un compte FB et après je te le pirate, plan infaillible<img data-src=" />


votre avatar







sniperdc a écrit :



Elle risques d’avoir le même traitement que JAVA à savoir la demande d’activation à l’exécution.



<img data-src=" />





Je ne pense pas que tu mets Flash en demande d’activation pour le moment.


votre avatar







FunnyD a écrit :



Pff les pirates tout moisis, ils démarrent la calculatrice <img data-src=" />, moi j’te pirate ton compte facebook quand tu veux <img data-src=" />







En plus il suffit de désinstaller la calculatrice et tu ne risques plus rien <img data-src=" />


votre avatar







Mithrill a écrit :



VUPEN ?



http://www.numerama.com/magazine/27004-vupen-l-entreprise-francaise-qui-aide-la-nsa.html





c’est vrai qu’on cherche la logique :

on récompense une société qui garde en réserve des failles 0day pour les vendre aux plus offrants, dont la NSA cherchant à infecter des millions de machines.

On marche sur la tête <img data-src=" />


votre avatar







_fefe_ a écrit :



c’est vrai qu’on cherche la logique :

on récompense une société qui garde en réserve des failles 0day pour les vendre aux plus offrants, dont la NSA cherchant à infecter des millions de machines.

On marche sur la tête <img data-src=" />







Je pense que la NSA doit avoir suffisamment de grosses têtes en son sein pour qu’elle n’ai pas vraiment besoin de sociétés de sécu.



Bon, ok, j’estime ca au doigt mouillé <img data-src=" />









FunnyD a écrit :



Simple, je te créé un compte FB et après je te le pirate, plan infaillible<img data-src=" />







M*, je suis foutu. Hacké par monsieur cuir-moustache <img data-src=" />


votre avatar

VUPEN,ne serait-ce pas la bandes de traîtres finis qui vendent des failles zéro-day à la NSA afin que celle-ci pirate le monde entier, à commencer par les Européens?

votre avatar







RaoulC a écrit :



M*, je suis foutu. Hacké par monsieur cuir-moustache <img data-src=" />



De toutes façons, ton compte existait déjà, pas de scrupule… ghost account ça s’appelle… Après, se faire hacker par un mec avec une casquette en cuir, ça c’est autre chose <img data-src=" />





nigol a écrit :



VUPEN,ne serait-ce pas la bandes de traîtres finis qui vendent des failles zéro-day à la NSA afin que celle-ci pirate le monde entier, à commencer par les Européens?



Si, c’est ça. Là ils participent pour communiquer auprès des geeks débiles qui s’extasient devant leurs exploits.


votre avatar







Mithrill a écrit :



VUPEN ?



http://www.numerama.com/magazine/27004-vupen-l-entreprise-francaise-qui-aide-la-nsa.html





<img data-src=" /> Bien vu <img data-src=" /> En même temps, de la part de Montpelliérains, rien ne m’étonnes <img data-src=" />



Kako78 a écrit :



En plus il suffit de désinstaller la calculatrice et tu ne risques plus rien <img data-src=" />





Ben non, je fais comment por compter sans calculatrice?<img data-src=" /><img data-src=" />



RaoulC a écrit :



M*, je suis foutu. Hacké par monsieur cuir-moustache <img data-src=" />





RaoulC Aime la vaseline, aime 50 shades of grey. <img data-src=" />


votre avatar

Donc firefox est le seul navigateur sans sandbox?

votre avatar







nigol a écrit :



VUPEN,ne serait-ce pas la bandes de traîtres finis qui vendent des failles zéro-day à la NSA afin que celle-ci pirate le monde entier, à commencer par les Européens?





Ce genre de commerce devrait être puni par la loi, c’est comme si tu vendais des moyens d’effraction à des combrioleurs. <img data-src=" />


votre avatar







Foudge a écrit :



J’ai même l’impression que personne ne s’est attaqué à EMET tout court, je n’ai pas vu de Chrome+EMET, Firefox+EMET ou Safari+EMET tomber, si ?



Ceci dit, même si ça a l’air de corser les choses, EMET n’est pas infaillible non plus :

http://www.lemondeinformatique.fr/actualites/lire-l-outil-de-securite-emet-de-mi…







EMET ne fournit pas de garantie absolue, mais il élève sérieusement le niveau de complexité de développement d’un code d’exploitation de faille.



quand on sait qu’il a fallu 1 an après la sortie d’EMET avant d’entendre parler d’un 1er exploit le contournant, je trouve ça très encourageant.



entre temps, MS a sorti EMET5 qui n’est pas vulnérable à ce contournement.



après il y a peut etre des hackers dans le monde qui disposent d’un exploit contournant meme EMET5, mais en tout cas ils ne sont pas prêts à le vendre pour seulement 150 000 $.


votre avatar







Ravaged a écrit :



Tjr intéressantes ces news… Vous auriez pu étoffer un peu pourquoi Firefox a pris plus cher que les autres…. Pkoi et comment….







parce que firefox est le seul navigateur a ne pas avoir de sandbox.



donc il est plus simple de créer un exploit ciblant firefox que IE/chrome/Safari



c’est pas pour rien que la recompense en cas de hack de firefox n’etait que de 65 000 \(, contre 100 000\) pour IE et Chrome sans EMET.


votre avatar







Khalev a écrit :



Trop compliqué/aléatoire à mettre en oeuvre en moins de 30 minutes pour l’instant.







euh l’exploit est pas développé en 30minutes hein!



le mec vient avec son exploit fonctionnel, et il a 30minutes pour ouvrir le navigateur, naviguer sur la page contenant l’exploit, et montrer que son exploit marche!


votre avatar







jmanici a écrit :



euh l’exploit est pas développé en 30minutes hein!



le mec vient avec son exploit fonctionnel, et il a 30minutes pour ouvrir le navigateur, naviguer sur la page contenant l’exploit, et montrer que son exploit marche!





Je sais.



Mais certains exploit prennent du temps à se mettre en oeuvre où ne fonctionnent pas du premier coup.



Genre là il y a un gars qu’à pas réussi à faire fonctionner son exploit en moins de 30 minutes, mais le constructeur a quand même regardé ce que c’était, sauf qu’il n’a pas eu son prix. (Même si ça m’étonnerait pas qu’il ait reçu une récompense de la part du constructeur si son exploit fonctionne).



Faut que je retrouve le nom du gars.


votre avatar







CaptainDangeax a écrit :



Est-ce que des tests ont été menés avec d’autres noyaux de ouïne (genre MacOS, Linux, *BSD), et avec un /home en noexec (pour les systèmes qui le peuvent) ? Juste par curiosité, en amateur…







non, ce concours de securité ne met en jeu que les cibles populaires (et dans leur config par defaut). C’est pour ça que opera (du temps de presto) n’a jamais figuré parmis les cibles, et que linux n’en fait plus partie non plus.

le but est de ne pas donner l’illusion qu’un produit qui n’interesse pas les hackers (du fait de sa faible utilisation) est plus securisé que les autres juste parce que personne n’a cherché à le hacker.



et sinon, ChromeOS s’est fait hacker. Etant basé sur linux, je pense que ça répond à ta question. (et osx aussi, les hackers ayant reussi à executer du code en root juste en visitant une page web sous safari)



au final, meme si tu tournes sur firefox sur un OpenBSD, tu n’es pas d’avantage en securité. Les failles firefox ne demandent pas en general d’exploiter une faille kernel puisqu’il n’y a pas de sandbox.



donc faut arreter de croire au mythe qu’openBSD offre des protections féériques contre les failles des logiciels qui tournent dessus. C’est assez ridicule.



votre avatar







Khalev a écrit :



Je sais.



Mais certains exploit prennent du temps à se mettre en oeuvre où ne fonctionnent pas du premier coup.



Genre là il y a un gars qu’à pas réussi à faire fonctionner son exploit en moins de 30 minutes, mais le constructeur a quand même regardé ce que c’était, sauf qu’il n’a pas eu son prix. (Même si ça m’étonnerait pas qu’il ait reçu une récompense de la part du constructeur si son exploit fonctionne).



Faut que je retrouve le nom du gars.







oui une equipe coreenne a pas reussi a faire marcher son exploit contre IE, probablement cassé par le patch Tuesday de la semaine derniere.



normalement si ça crashe plusieurs fois c’est éliminatoire. Mais cette fois si ils ont quand meme reçu une offre d’achat de leurs failles, meme s’ils ne sont pas officiellement “vainqueurs”.


votre avatar







Khalev a écrit :



C’était quelle version d’EMET à la conf?







pas trouvé, mais je pense que c’etait EMET4, vu que dans ce genre de concours ils ne testent que les produits commerciaux finis.



(oui on sait que EMET4 a deja été contourné recemment, mais malgré ça le contournement ne semble pas a la porté de tous)


votre avatar







kail a écrit :



Moi je me demande si le montant des récompenses ne va pas ruiner ces boites à force. On parle quand même de 50k à 100k par faille détectée. D’où leur vient tout cet argent? Un navigateur n’est-il pas censé être gratuit ?







deja c’est HP et ZDI qui ont financé ces recompenses.



ensuite, t’es au courant que mozilla gagne 300 millions de \( par an grace à son navigateur gratuit? (grace à google)



donc meme s'ils devaient sortir les 65k\) de leur poche, ils le feraient.


votre avatar







jmanici a écrit :



oui une equipe coreenne a pas reussi a faire marcher son exploit contre IE, probablement cassé par le patch Tuesday de la semaine derniere.



normalement si ça crashe plusieurs fois c’est éliminatoire. Mais cette fois si ils ont quand meme reçu une offre d’achat de leurs failles, meme s’ils ne sont pas officiellement “vainqueurs”.





Ah bin merci. <img data-src=" /> J’ai pas trop eu le temps de suivre ça la semaine dernière, du coup j’étais pas trop sûr de mes sources.







jmanici a écrit :



[quote:4956071:Khalev]

C’était quelle version d’EMET à la conf?





pas trouvé, mais je pense que c’etait EMET4, vu que dans ce genre de concours ils ne testent que les produits commerciaux finis.



(oui on sait que EMET4 a deja été contourné recemment, mais malgré ça le contournement ne semble pas a la porté de tous)[/quote]

En même temps si tu utilises une faille déjà connue tu n’es pas récompensé non plus, sauf si tu l’utilises d’une nouvelle façon. Comme tu dis ça manque un peu de recul sur la scène “publique” des hackers par rapport aux failles d’EMET, du coup une faille exploitable sur EMET peut rapporter gros (plus que 150k$ en tout cas).


votre avatar







jmanici a écrit :



quand on voit que firefox a ete hacké plus souvent que Flash durant ce concours de securité, malgré un gain inferieur, on peut se poser des questions sur lequel de firefox ou flash player est le moins securisé.



en tout cas une chose est sûre, une faille firefox vaut moins qu’une faille adobe (flash ou reader).





Rien n’indique que Firefox n’a pas été hacké à cause de Java/flash/Adobe reader…



il faudrait plus de précisions. mais effectivement, peut-être que les failles de firefox seules ne valent que 150K$ et donc ils peuvent se permettre de les dévoiler à un concours tel que celui-ci, alors que les grosses failles java/flash/adobe, doivent être autrement plus précieuses, et du coup être monnayées plus cher à d’autres…


votre avatar

J’essaye de comprendre… en gros si moi, pauvre péon qui ne comprend pas un traître mot de code, j’installe ce pack EMET sur un windows équipé d’IE à jour, j’empêche l’immense majorité des hack disponibles de mon pc à travers le navigateur, c’est ça ?

En contrepartie, y’a des concessions à faire pour la navigation ? (lenteur, scripts bloqués,… ?)



De ce que j’en ai compris jusque-là, ça a l’air d’être un super outil à installer chez toutes les entreprises / inconscients /… pour évite les menaces non ?

votre avatar







geekounet85 a écrit :



Rien n’indique que Firefox n’a pas été hacké à cause de Java/flash/Adobe reader…



il faudrait plus de précisions. mais effectivement, peut-être que les failles de firefox seules ne valent que 150K\( et donc ils peuvent se permettre de les dévoiler à un concours tel que celui-ci, alors que les grosses failles java/flash/adobe, doivent être autrement plus précieuses, et du coup être monnayées plus cher à d'autres...





Les failles pour FF ne valait pas 150k\) Elles étaient aux alentours de 60k$ ou un truc comme ça.


votre avatar







geekounet85 a écrit :



Rien n’indique que Firefox n’a pas été hacké à cause de Java/flash/Adobe reader…







bah si, puisque c’est dans les regles du concours!



il s’agit de hacker les navigateurs dans leur config par défaut, sans plugin additionnel.



les plugin faisant l’objet d’une épreuve séparée



au passage la recompense pour hacker Flash Player (85 000\() etait plus elevée que la recompense pour hacker firefox (65 000\))



le montant etant choisi par les organisateurs en fonction de la difficulté.





il faudrait plus de précisions. mais effectivement, peut-être que les failles de firefox seules ne valent que 150K\( et donc ils peuvent se permettre de les dévoiler à un concours tel que celui-ci, alors que les grosses failles java/flash/adobe, doivent être autrement plus précieuses, et du coup être monnayées plus cher à d'autres...





les failles Flash sont precieuses et couteuses, mais si elles etaient si faciles trouver, je pense qu'il y aurait eu d'avantage d'exploits. Personne ne cracherait sur 85 000\) si les failles flash etaient facile à trouver.


votre avatar







GoGator a écrit :



J’essaye de comprendre… en gros si moi, pauvre péon qui ne comprend pas un traître mot de code, j’installe ce pack EMET sur un windows équipé d’IE à jour, j’empêche l’immense majorité des hack disponibles de mon pc à travers le navigateur, c’est ça ?

En contrepartie, y’a des concessions à faire pour la navigation ? (lenteur, scripts bloqués,… ?)



De ce que j’en ai compris jusque-là, ça a l’air d’être un super outil à installer chez toutes les entreprises / inconscients /… pour évite les menaces non ?







oui exactement.

ça ressemble à un scam ou une promesse absurde, mais oui EMET ameliore la securité significativement, et sans contrepartie (pas de diminition des perfs).



le seul risque c’est si tu utilises des vieux plugins incompatibles.

EMET provoquera des plantages aléatoires du navigateur dans ce cas (suffit dans ce cas de desactiver ces plugins, ou virer EMET)



mais si tu es un particulier, il n’y a aucune raison que tu aies des vieux plugins non compatibles avec EMET.



flash, silverlight, adobe reader, java, tout fonctionne correctement avec EMET.



et les navigateurs autres que IE aussi.


votre avatar







John Shaft a écrit :



Bon, le reader Acrobat, son sort semble être plié au moins pour Chrome et FF (a voir pour IE, je ne l’utilise jamais), même si les solutions alternatives trouvées ne sont bien sûr pas exemptes de potentielles failles



Reste la bête Flash.







Mort à la bête !!!



votre avatar







jmanici a écrit :



oui exactement.

ça ressemble à un scam ou une promesse absurde, mais oui EMET ameliore la securité significativement, et sans contrepartie (pas de diminition des perfs).



le seul risque c’est si tu utilises des vieux plugins incompatibles.

EMET provoquera des plantages aléatoires du navigateur dans ce cas (suffit dans ce cas de desactiver ces plugins, ou virer EMET)



mais si tu es un particulier, il n’y a aucune raison que tu aies des vieux plugins non compatibles avec EMET.



flash, silverlight, adobe reader, java, tout fonctionne correctement avec EMET.



et les navigateurs autres que IE aussi.







Merci pour ta réponse ! Voilà un pack méconnu bien qu’essentiel alors ! Je vais tacher de diffuser ça autour de moi !


votre avatar







paradise a écrit :



Tu parles, je parie qu’ils ont testé uniquement avec Ouinedose et Mac, tu poses de ces questions d’amateur… trop éclairé ! <img data-src=" />







Et sinon, on peut lire la news aussi …





Google a inauguré la compétition en jetant à bas les défenses d’un Safari 7 sur un Mac équipé d’un Mavericks entièrement mis à jour, provoquant le lancement de la Calculette

<img data-src=" />



votre avatar







Chloroplaste a écrit :



Troll certe, mais trop archaïque désormais. Sachant qu’IE n’est plus le navigateur le plus troué (avec les dernières versions du moins).







En effet ils ont fait beaucoup d’effort ! Mais c’est un peu comme Norton Antivirus. Il m’a tellement dégouter à l’époque qu’on peut me dire que la prochaine version 2015 est révolutionnaire je n’irai pas acheter leur produit ^^.


votre avatar

Si Firefox s’est retrouvé violenté, en est-til de même pour Waterfox du coup ??

votre avatar







cayan a écrit :



Et sinon, on peut lire la news aussi …



<img data-src=" />





Et ? Je mentionne Mac, me semble-t-il ? <img data-src=" />


votre avatar







paradise a écrit :



Et ? Je mentionne Mac, me semble-t-il ? <img data-src=" />







my bad <img data-src=" />


votre avatar







Se7en474 a écrit :



En effet ils ont fait beaucoup d’effort ! Mais c’est un peu comme Norton Antivirus. Il m’a tellement dégouter à l’époque qu’on peut me dire que la prochaine version 2015 est révolutionnaire je n’irai pas acheter leur produit ^^.







Tout à fait,



Associé à mon premier PC en essai 3 mois, c’est fou le nombre de virus détecté par BitDefender qu’en je l’ai installé (ensuite passé par Kasperski 2 ans et maintenant, depuis deux ans, GData (il n’empêche que certains virus passent quand même, Malewarebytes m’en détecte parfois aussi)<img data-src=" />


votre avatar







2show7 a écrit :



Tout à fait,



Associé à mon premier PC en essai 3 mois, c’est fou le nombre de virus détecté par BitDefender qu’en je l’ai installé (ensuite passé par Kasperski 2 ans et maintenant, depuis deux ans, GData (il n’empêche que certains virus passent quand même, Malewarebytes m’en détecte parfois aussi)<img data-src=" />





Perso je suis revenu sur Eset après un passage sur Bitdefender, ce dernier affiche un taux de détection plus élevé mais j’ai remarqué une nette baisse de performance sur mon navigateur même avec les filtres antiphishing désactivé.


votre avatar

Vous faites comment pour avoir des virus?



Perso, j’ai un “antivirus” MSE pour la forme. Mais à moins de le faire exprès, je n’ai pratiquement jamais eu de virus en 20ans d’informatique. J’ai eu quelque mal/publiware a l’époque 98/XP. Mais pas de virus.

votre avatar







Znuf a écrit :



Vous faites comment pour avoir des virus?



Perso, j’ai un “antivirus” MSE pour la forme. Mais à moins de le faire exprès, je n’ai pratiquement jamais eu de virus en 20ans d’informatique. J’ai eu quelque mal/publiware a l’époque 98/XP. Mais pas de virus.







Les ordis familiaux, personne ne va sur les mêmes sites , au bout du compte , plein de mauvaise surprise, surtout avec ceux qui n’en rien a faire que le pc soit infecter.


votre avatar







Znuf a écrit :



Vous faites comment pour avoir des virus?



Perso, j’ai un “antivirus” MSE pour la forme. Mais à moins de le faire exprès, je n’ai pratiquement jamais eu de virus en 20ans d’informatique. J’ai eu quelque mal/publiware a l’époque 98/XP. Mais pas de virus.





C’est pas parce qu’il ne soit voit pas qu’il n’y en a pas <img data-src=" />



Sinon, c’est sûr que si tu ne vas pas sur des sites de streaming, de piratage, ou autres sites de <img data-src=" />…



Mais dès que tu télécharges un peu, il vaut mieux être protégé, j’ai déjà eu des alertes antivirus en téléchargeant des scans de mangas…


votre avatar







Znuf a écrit :



Vous faites comment pour avoir des virus?



Perso, j’ai un “antivirus” MSE pour la forme. Mais à moins de le faire exprès, je n’ai pratiquement jamais eu de virus en 20ans d’informatique. J’ai eu quelque mal/publiware a l’époque 98/XP. Mais pas de virus.





Ce n’est pas parceque MSE ne détecte rien et que tu ne les “vois” pas que ton PC n’est pas infecté <img data-src=" />


votre avatar







Se7en474 a écrit :



C’est une très bonne initiative. En revanche j’ai pas compris pourquoi l’équipe VUPEN n’a dévoilé que 11 failles sur 20. Ils gardent quelques failles pour leur intérêt personnel ? <img data-src=" />







C’est une société qui vend ses services sur la sécurité.

ils ont tout intérêt à garder au chaud quelque faille pour montrer comment leur client peuvent se faire pirater <img data-src=" />.


votre avatar







Mr.Nox a écrit :



Je me demande pourquoi personne n’a tente IE11 avec EMET.





Trop compliqué/aléatoire à mettre en oeuvre en moins de 30 minutes pour l’instant.


votre avatar







Znuf a écrit :



Vous faites comment pour avoir des virus?



Perso, j’ai un “antivirus” MSE pour la forme. Mais à moins de le faire exprès, je n’ai pratiquement jamais eu de virus en 20ans d’informatique. J’ai eu quelque mal/publiware a l’époque 98/XP. Mais pas de virus.







Si j’en ai eu autant avec Norton non détecté, c’était plus avec des CD-rom des kiosques dans les années 200X que du surf sur Internet. Même les CD-rom parfois bootaient avec des virus <img data-src=" />


votre avatar







Chloroplaste a écrit :



J’aime beaucoup le concept de ce genre d’évènement.

Utiliser l’expérience du plus grand nombres d’experts externes pour améliorer la sécurité de son produit. Le tout en offrant des récompenses suffisament élevées pour appâter le chaland.

Si ces évènements étaient bien plus répandus et fréquents (les géants du net ont une trésorie suffisante pour les récompenses), nombreux seraient les black hats tentés par un basculement vers le côté “clair” de la force.

Bien que nombreux étant ceux possédant les 2 “chapeaux”.





Moi je me demande si le montant des récompenses ne va pas ruiner ces boites à force. On parle quand même de 50k à 100k par faille détectée. D’où leur vient tout cet argent? Un navigateur n’est-il pas censé être gratuit ?


votre avatar







k43l a écrit :



C’est une société qui vend ses services sur la sécurité.

ils ont tout intérêt à garder au chaud quelque faille pour montrer comment leur client peuvent se faire pirater <img data-src=" />.





Vupen vend ses failles aux plus offrant surtout.

Que ce soit la boite du soft ou non (NSA si tu me regarde <img data-src=" />)



Un concours comme ca permet à Vupen de se faire connaitre et de montrer que c’est eux les “meilleurs”.


votre avatar



avec les plug-ins que sont Flash et Reader, tous deux provenant d’Adobe





Ces bonnes vieilles passoires <img data-src=" />

votre avatar

Je me demande pourquoi personne n’a tente IE11 avec EMET.

votre avatar

Et des attaques sans Flash et Reader, ça donne quoi ?

votre avatar







Mr.Nox a écrit :



Je me demande pourquoi personne n’a tente IE11 avec EMET.





Pareillement, c’est tout de même curieux. N’y a-t’il pas encore assez d’information sur le sujet pour tenter de le faire tomber ?


votre avatar







Mr.Nox a écrit :



Je me demande pourquoi personne n’a tente IE11 avec EMET.







L’apat du gain, a vue de nez <img data-src=" />


votre avatar

Tjr intéressantes ces news… Vous auriez pu étoffer un peu pourquoi Firefox a pris plus cher que les autres…. Pkoi et comment….

votre avatar



L’équipe était même venue selon elle avec vingt failles 0day et n’en a utilisé que onze.





Ce serait dommage de pas avoir une petite faille sous le coude.

votre avatar







Mr.Nox a écrit :



Je me demande pourquoi personne n’a tente IE11 avec EMET.







EMET n’est pas non plus LA solution ultime, et a été contourné récemment aussi :http://labs.bromium.com/2014/02/24/bypassing-emet-4-1/



Mais c’est clair que c’est quand même vachement plus dur avec EMET ;)


votre avatar

Je me demande d’ailleurs comment se positionneent ces fameux gains quand il s’agit de sociétés.

En effet, cela est-il considéré comme un simple gain non imposable ou comme un revenu tiré d’une prestation ?

votre avatar



avec les plug-ins que sont Flash et Reader, tous deux provenant d’Adobe



Il n’y a qu’une explication possible : l’un des employés de VUPEN est aussi employé de l’équipe Sécurité de chez Adobe <img data-src=" />



Ou alors : Adobe se fout royalement de la sécurité et des performances et se reprose tranquillement sur ses lauriers. J’hésite.

votre avatar

Est-ce que des tests ont été menés avec d’autres noyaux de ouïne (genre MacOS, Linux, *BSD), et avec un /home en noexec (pour les systèmes qui le peuvent) ? Juste par curiosité, en amateur…

votre avatar

Je n’aime déjà pas les cookies, mais si on bloque tout, on ne voit plus rien, si méchant truc en profite, ce n’est pas la faute au navigateur, mais à celui qui a ouvert les vannes.



A-t-on vraiment le temps de réfléchir “acceptez-vous AMu88z0lI2C (un truc venu d’où on ne sait où, mais qui sans ça n’affiche rien ?) ? (à part faire une recherche ou passivement accepter°, là est tout le problème de l’infiltration sur nos machines)



° la complexité : le fichier existe clean et/ou pas clean : le dilemme

votre avatar

[troll on]

Internet Explorer est une faille en lui même, inutile de le tester.

[troll off]



C’est une très bonne initiative. En revanche j’ai pas compris pourquoi l’équipe VUPEN n’a dévoilé que 11 failles sur 20. Ils gardent quelques failles pour leur intérêt personnel ? <img data-src=" />

votre avatar







CaptainDangeax a écrit :



Est-ce que des tests ont été menés avec d’autres noyaux de ouïne (genre MacOS, Linux, *BSD), et avec un /home en noexec (pour les systèmes qui le peuvent) ? Juste par curiosité, en amateur…





Tu parles, je parie qu’ils ont testé uniquement avec Ouinedose et Mac, tu poses de ces questions d’amateur… trop éclairé ! <img data-src=" />


votre avatar







Se7en474 a écrit :



[troll on]

Internet Explorer est une faille en lui même, inutile de le tester.

[troll off]







Troll certe, mais trop archaïque désormais. Sachant qu’IE n’est plus le navigateur le plus troué (avec les dernières versions du moins).


votre avatar







Vellou a écrit :



L’apat du gain, a vue de nez <img data-src=" />







Ben justement, si une équipe avait un moyen de le passer, elle ne s’en serait sans doute pas privée.

L’ayant activé sur mon pc, j’aurai aimé le voir mis à contribution


votre avatar

Pour ceux qui aiment <img data-src=" />



http://dnslookup.fr/vupen.com



Il y a des choses intéressantes <img data-src=" />

votre avatar







Toorist a écrit :



Vupen vend ses failles aux plus offrant surtout.

Que ce soit la boite du soft ou non (NSA si tu me regarde <img data-src=" />)





La NSA? Ils s’en foutent complètement. Ils viennent puiser à la source en demandant aux développeurs d’OS d’intégrer une porte dérobée.


votre avatar







kail a écrit :



Moi je me demande si le montant des récompenses ne va pas ruiner ces boites à force. On parle quand même de 50k à 100k par faille détectée. D’où leur vient tout cet argent? Un navigateur n’est-il pas censé être gratuit ?







Je pense que les salaires mensuel des développeur et ingénieur de Google ou HP sont bien plus élevé ou sont dans les alentours des 50k - 100k par faille <img data-src=" /> .





votre avatar







kail a écrit :



Moi je me demande si le montant des récompenses ne va pas ruiner ces boites à force. On parle quand même de 50k à 100k par faille détectée. D’où leur vient tout cet argent? Un navigateur n’est-il pas censé être gratuit ?





Les co-organisateurs de l’évènement, Google et HP, ont très certainement suffisamment de budget pour organiser ce genre d’évèmenent <img data-src=" />

Après, s’ils le font, c’est qu’ils sont tout de même relativement confiants en leur produit et qu’ils s’attendent pas à ce que des gens trouvent des failles critiques tous les jours…


votre avatar







Se7en474 a écrit :



[troll on]

Internet Explorer est une faille en lui même, inutile de le tester.

[troll off]



C’est une très bonne initiative. En revanche j’ai pas compris pourquoi l’équipe VUPEN n’a dévoilé que 11 failles sur 20. Ils gardent quelques failles pour leur intérêt personnel ? <img data-src=" />





Ils n’ont utilisé que 11 failles sur les 20, mais les autres ont certainement été aussi remontées aux développeurs.


votre avatar







John Shaft a écrit :



Ces bonnes vieilles passoires <img data-src=" />







Elle risques d’avoir le même traitement que JAVA à savoir la demande d’activation à l’exécution.



<img data-src=" />


votre avatar

Pff les pirates tout moisis, ils démarrent la calculatrice <img data-src=" />, moi j’te pirate ton compte facebook quand tu veux <img data-src=" />

votre avatar







cayan a écrit :



Ben justement, si une équipe avait un moyen de le passer, elle ne s’en serait sans doute pas privée.

L’ayant activé sur mon pc, j’aurai aimé le voir mis à contribution







Si tu as lu la news, tu as du voir que chez PUVEN on etait venu avec “20 failles 0 day”, donc le but est de recolter de la notoriete / du fric, plutot qu’autre chose.



On fait dans ce qu’on connait deja, c’est plus sur pour gagner, on s’ennuie pas avec les trucs trop recents.


votre avatar

Et tous les navigateurs seront patchés et mieux sécurisés, et les utilisateurs seront les grands gagnants. Merci messieurs <img data-src=" />

votre avatar



Personne n’a tenté de défaire Internet Explorer 11 avec EMET



J’ai même l’impression que personne ne s’est attaqué à EMET tout court, je n’ai pas vu de Chrome+EMET, Firefox+EMET ou Safari+EMET tomber, si ?



Ceci dit, même si ça a l’air de corser les choses, EMET n’est pas infaillible non plus :

http://www.lemondeinformatique.fr/actualites/lire-l-outil-de-securite-emet-de-mi…

votre avatar







sniperdc a écrit :



Elle risques d’avoir le même traitement que JAVA à savoir la demande d’activation à l’exécution.







Bon, le reader Acrobat, son sort semble être plié au moins pour Chrome et FF (a voir pour IE, je ne l’utilise jamais), même si les solutions alternatives trouvées ne sont bien sûr pas exemptes de potentielles failles



Reste la bête Flash.





votre avatar

La news oublie de préciser une victime importante:



ChromeOS est tombé. Deux fois.

(1 pwn complet par geohotz avec persistance aux reboots et 1 autre jugé partiel car il utilisait une faille démontrée par quelqu’un d’autre).

plus.google.com Googleau final le grand vainqueur de cette compétition c’est Microsoft.



personne n’a exploité de 0Day dans IE avec EMET, et ce malgré 150 000$ de recompense, le meme montant que pour ChromeOS.



au final, ça pose une question intéressante sur l’intérêt de chromeOS, si meme dans son principal point fort il n’est pas le meilleur. Ca coute moins cher d’installer EMET gratuit et d’acheter un chromebook et de se castrer au passage!



pour ceux qui veulent savoir concrètement ce qu’est EMET:

http://www.julien-manici.com/blog/EMET-protection-against-flaws-Internet-Explore…

votre avatar



. Ca coute moins cher d’installer EMET gratuit et d’acheter un chromebook et de se castrer au passage!



/





merde l’edit marche plus, je peux pas corriger ma faute de frappe



Ca coute moins cher d’installer EMET gratuit QUE d’acheter un chromebook et de se castrer au passage!

votre avatar







jmanici a écrit :



L

personne n’a exploité de 0Day dans IE avec EMET, et ce malgré 150 000$ de recompense, le meme montant que pour ChromeOS.





C’était quelle version d’EMET à la conf?


votre avatar







CaptainDangeax a écrit :



Est-ce que des tests ont été menés avec d’autres noyaux de ouïne (genre MacOS, Linux, *BSD), et avec un /home en noexec (pour les systèmes qui le peuvent) ? Juste par curiosité, en amateur…







J’aimerai savoir aussi.

Je surf très rarement sur Windows, je préfère ma Fedora ou ma Debian.


votre avatar







John Shaft a écrit :



Bon, le reader Acrobat, son sort semble être plié au moins pour Chrome et FF (a voir pour IE, je ne l’utilise jamais), même si les solutions alternatives trouvées ne sont bien sûr pas exemptes de potentielles failles



Reste la bête Flash.









je veux pas etre l’avocat du diable, mais la securité des produits adobe n’est pas aussi mauvaise que ce que tout le monde pense.



flash player et adobe reader sont installés sur 90% des PC.

c’est évident que leurs failles ont beaucoup plus de valeur qu’un exploit 0day firefox qui ne pourra toucher que 20% des utilisateurs.



et quand on considère que de nos jours il devient si difficile de créer des exploits contournant ASLR et DEP on constate que les hackers les réservent au marché de l’espionnage (industriel ou gouvernemental) de plus en plus souvent, au lieu de s’attaquer à des utilisateurs lambda pour voler leur numero de CB comme dans le passé. Du coup les createurs d’exploits se focalisent sur l’environnement typique des entreprises: un vieux IE, Java, Flash, et Adobe reader.



quand on voit que firefox a ete hacké plus souvent que Flash durant ce concours de securité, malgré un gain inferieur, on peut se poser des questions sur lequel de firefox ou flash player est le moins securisé.



en tout cas une chose est sûre, une faille firefox vaut moins qu’une faille adobe (flash ou reader).


votre avatar







Chloroplaste a écrit :



Je me demande d’ailleurs comment se positionneent ces fameux gains quand il s’agit de sociétés.

En effet, cela est-il considéré comme un simple gain non imposable ou comme un revenu tiré d’une prestation ?







A peu près tous les gains sont imposables, ferais tu référence aux gains de jeux de hasard pour les particuliers ? Dans tous les cas, ici, ce n’est pas du hasard. Ça sera imposable.


Pwn2Own 2014 : tous les navigateurs sont encore tombés cette année

  • Tous les navigateurs sont tombés 

  • De George Hotz aux français de VUPEN 

  • Personne n'a tenté de défaire Internet Explorer 11 avec EMET 

Fermer