CanSecWest montre la difficulté croissante du piratage
Comme à l’accoutumée, CanSecWest a été l’occasion de la présentation de nouvelles vulnérabilités visant notamment les navigateurs Web. Mais l’événement a aussi permis de montrer que les éditeurs ne relâchent pas leurs efforts.
Des vulnérabilités logicielles, encore et toujours. CanSecWest, qui se déroulait mi-mars à Vancouver, a été le théâtre de présentations de nombreuses nouvelles failles de sécurité, notamment dans les navigateurs Web, mais également dans Adobe Reader ou encore Flash.
Reste que les participants à l’événement ne manquent pas de reconnaître la qualité des efforts des éditeurs pour améliorer la sécurité globale de leurs produits. Ainsi, Liang Chen, de l’équipe chinoise Keen Team qui a fait tomber Safari, le navigateur d’OS X, explique à nos confrères du Threat Post que le système d’exploitation d’Apple « dispose d’une très bonne architecture de sécurité. Et même si vous trouvez une vulnérabilité, il est difficile de l’exploiter ». Dès lors, malgré une démonstration brillante, Liang Chen estime que, « en général, la sécurité dans OS X est supérieure à celle d’autres systèmes d’exploitation. »
Plus généralement, Chaouki Bekrar, fondateur du français Vupen, spécialiste de la vente d’exploits, a relevé que « l’exploitation est plus difficile. Trouver des [failles] zero-day dans les navigateurs est difficile ». Ce qui n’a pas empêché son équipe de réussir à exécuter du code hors du bac-à-sable de Google Chrome lors de la première journée de CanSecWest. Avant de faire tomber Flash, Adobe Reader, Internet Explorer et Firefox le lendemain. Mais justement, pour ce dernier, il lui a fallu utiliser un moteur de test ayant exécuté quelque 60 millions de scénarios. Et Chaouki Bekrar de conclure que Mozilla « a fait un excellent travail à corriger ses failles », reconnaissant les mêmes mérites à Google avec un Chrome qui embarque, selon lui, « le bac à sable le plus robuste ».