CanSec : Un pirate craque un Mac en 10 secondes
Comment gagner 5.000 dollars en 10 secondes ? Charlie Miller, chercheur aux Evaluateurs indépendants en sécurité possède la réponse. Lors de la conférence CanSec appelée dans le milieu « Pwn2Own » et regroupant tous les meilleurs exploits en matière de failles de sécurité, il a réussi à pirater, un Mac en ce temps record.
Charlie Miller défendait son titre de pirate le plus rapide de l'Ouest américain puisque l'année passée, lors du salon CanSec West, il avait réussi à pirater un MacBook Air en deux minutes. Il avait empoché au passage 10.000 dollars. Le jour suivant, c'est Shane Macauley, un consultant en sécurité, qui repartait avec 5.000 dollars pour avoir franchi les barrières de sécurité d'un notebook Fujitsu tournant sur Windows Vista Service Pack 1.
Cette fois Miller est resté discret sur sa prouesse : « Je ne peux pas évoquer les détails de la vulnérabilité utilisée mais il s'agissait bien d'un Mac correctement patché disposant de Safari« . L'expert admet ensuite aux journalistes présents, notamment Computerworld, qu'il avait écrit son exploitavant d'arriver au concours. Voilà deux mois, le hacker-spécialiste avait prévenu que Safari serait le premier à tomber.
Lire aussi : Sécurisation des identifiants et protection contre les attaques par déplacement latéral
Autre fait marquant de la conférence, la performance d'un chercheur qui s'est payé le luxe de faire tomber un portable Sony équipé en Internet Explorer 8 et tournant sous Windows 7. La vulnérabilité, trouvée sur IE8 n'aura pas mis longtemps à céder. Le seul message confirmant l'exploita été envoyé par TippingPoint, société partenaire de l'événement : « Nils vient juste de remporter le prix Sony Vaio avec un brillant bug sur IE8 ! » (dont la sortie de la version définitive est prévue pour ce jeudi, nous y reviendrons.)
Dès lors, tout nouvel exploit utilisant une autre faille sera récompensé du même prix de 5.000 dollars que ce soit pour IE8, Firefox ou bien Chrome. Une prime de 10.000 dollars sera même remise pour toute vulnérabilité découverte sur les OS mobiles tels que Windows Mobile, Android, Symbian, et ceux utilisés pour l'iPhone ou le Blackberry.
Comme dans toutes les éditions du « PWN2OWN« , les exploits ont été confiés à TippingPoint afin que l'information ne devienne pas publique et que la méthode soit communiquée aux constructeurs et aux éditeurs. Une initiative pour le sport, qui rapporte quelques piécettes à ceux qui ont le sens du défi.
Sur le même thème
Voir tous les articles Cybersécurité