1 million$ pour percer la sécurité de Chrome

C’est la semaine prochaine qu’aura lieu la sixième édition de la compétition de bidouillage Pwn2Own durant laquelle des experts en sécurité informatique tentent de percer les défenses de divers produits, dans le but de gagner des prix mais aussi d’améliorer la sécurité du Web en découvrant des failles avant qu’elles ne tombent aux mains de pirates malfaisants.

Cette année, les cibles seront les 4 principaux navigateurs Web sur le marché (Firefox, Chrome, Safari, Internet Explorer), qui seront installés sur des ordinateurs dont les systèmes d’exploitation (Windows 7 ou Mac OS X Lion) disposeront de toutes les dernières mises à jour. Mais une petite controverse a éclaté plus tôt cette semaine lorsque Google a décidé de se retirer de son rôle de commanditaire du Pwn2Own puisqu’un règlement de ce dernier pourrait permettre à des pirates de gagner un prix sans dévoiler tous les détails de leurs méthodes - ce qui empêcherait les développeurs du navigateur Web compromis de corriger la faille exploitée. 
 
Google a donc créé son propre concours, appelé Pwnium, qui aura aussi lieu la semaine prochaine et qui sera doté d’une bourse totale maximale d’un million de dollars - mais qui sera limité aux attaques contre son propre navigateur, Chrome. Chaque exploit réalisé et documenté vaudra à ses auteurs un montant entre 20 000$ et 60 000$ selon son importance, à condition qu’ils soient les premiers à le démontrer, jusqu’à ce que la bourse totale soit épuisée.
 
Personne n’a réussi à percer la sécurité de Chrome lors des éditions précédentes de Pwn2Own, et la plupart du temps personne ne s’est même donné la peine d’essayer puisque le «carré de sable» de Chrome est réputé quasi-invulnérable et qu’il était beaucoup plus facile de gagner des prix en s’attaquant à des cibles plus faciles. Google a donc décidé de forcer la main des bidouilleurs. Reste à voir si les résultats seront à la hauteur des attentes.
 
Source: Ars Technica
Photo : altemark