Le défi lancé par Google de repérer des brèches dans Chrome a déjà été relevé avec succès par deux personnes pour le top-prix de 60.000 dollars.
Le défi lancé par Google de repérer des brèches dans Chrome a déjà été relevé avec succès par deux personnes pour le top-prix de 60.000 dollars.
Le concours ‘Pwnium’ a été lancé par Google, afin d’inciter des pirates à détecter de (sérieuses) failles dans la sécurité du navigateur Chrome. Même pas deux semaines plus tard, le top-prix de 60.000 dollars a déjà été décerné deux fois. C’est ainsi qu’un ado sous le pseudonyme Pinkie Pie a réussi une attaque exploitant 3 points faibles ‘zero day’, y compris une méthode pour faire tourner du code en dehors du bac à sable (‘sandbox’, à savoir l’espace fermé sécurisé pour le code). Ce qui est intéressant, c’est que ce pirate avait, d’après les rumeurs, envoyé son CV à Google, mais n’avait suscité aucune réaction. Il en ira assurément tout autrement maintenant…
Pinkie Pie avait lui-même été précédé par un autre pirate, Sergei Glazunov, qui avait lui aussi trouvé une méthode pour faire tourner du code en dehors du bac à sable (à l’aide de deux points faibles ‘zero day’). Pour ce faire, les deux pirates n’ont du reste utilisé que des brèches de Chrome même (et donc pas du système d’exploitation ou de tout autre code sur la machine). Dans le cas de Glazunov, il faut dire qu’il est un expert dans la base du code de Chrome. Précédemment, il aurait, à ce qu’on dit, déjà encaissé quelque 70.000 dollars en signalant la présence de bugs dans Chrome. C’est ainsi qu’un classement de bugs de sécurité de début 2011 mentionne pas moins de cinq fois le nom de Glazunov, ce qui représente quasiment 7.500 dollars de… récompense.
