Google Chrome n'aura finalement pas résisté aux assauts. Les années précédentes - et faute de participants pour relever ce défi - le navigateur de Google était ressorti indemne du concours de hacking Pwn2Own. Ce ne sera pas le cas pour cette année.

Le Français VUPEN avait préparé ses armes avec des failles 0-day dans ses poches pour chacun des quatre navigateurs en lice : Google Chrome, Internet Explorer, Firefox et Safari. Mais le choix a été fait de d'abord s'attaquer à Google Chrome pour montrer qu'aucun navigateur n'est inviolable.

Via la consultation d'une page Web piégée et sans interaction de l'utilisateur, deux failles ont été exploitées afin de prendre le contrôle d'un ordinateur équipé du système d'exploitation Windows 7 ( 64-bit ). Une pour passer outre les protections DEP et ASLR de Windows, et l'autre pour la sandbox de Google Chrome.

ASLR aide à empêcher les attaquants à avoir accès à des adresses mémoire connues ( prédites ) pour les utiliser dans des dépassements de tampon, tandis que DEP aide à déjouer des attaques en empêchant du code malveillant d'être exécuté dans la mémoire non-exécutable. Quant à la sandbox de Google, il s'agit de la protection permettant d'isoler le navigateur du reste de l'OS et dont la mise en œuvre au sein du navigateur a notamment été louée par l'Office fédéral de la sécurité des technologies de l'information en Allemagne.

L'année dernière, VUPEN avait affirmé avoir conçu un exploit capable de passer outre la sandbox de Google Chrome. Cette trouvaille avait toutefois suscité la polémique. Pour Google, il s'agissait en réalité d'un exploit tirant parti d'une vulnérabilité dans un code tiers et en l'occurrence le plugin Flash Player ( intégré par défaut ).

À ZDNet, Chaouki Bekrar - co-fondateur de VUPEN et chercheur en sécurité - a refusé de dire si les exploits du Pwn2Own ont ciblé du code tiers dans le navigateur. " Notre exploit a fonctionné pour une installation par défaut de Google Chrome, peu importe donc s'il s'agit de code tiers ". Voilà qui n'évacuera pas tous les doutes, d'autant que VUPEN réservera seulement à ses clients la vulnérabilité liée à la sandbox.

Pour Chaouki Bekrar, Google Chrome n'en demeure pas moins l'un des navigateurs les plus sûrs avec une protection sandbox très robuste.


Google préfère le Pwnium
Cette année, Google a décidé de ne pas soutenir le concours Pwn2Own qui autorise la participation de concurrents sans obligation de dévoiler leurs exploits complets aux éditeurs concernés. Google sponsorise ainsi un concours alternatif dénommé Pwnium et doté de jusqu'à un million de dollars ( voir notre actualité ).

Pour le Pwnium, un étudiant russe est parvenu à hacker un ordinateur Windows 7 ( 64-bit ) via une exécution de code à distance et une attaque qui a pu se jouer de la sandbox de Google Chrome. Pour cet exploit, il a remporté 60 000 dollars. Sergey Glazunov est du reste un habitué des découvertes de failles dans Google Chrome, et son nom apparaît très souvent dans le programme de rétribution de Google.

L'exploit a été jugé très impressionnant par un membre de l'équipe sécurité de Chrome. Il a toutefois ajouté que si l'exploit est spécifique à Google Chrome et contourne entièrement la sandbox, cette dernière est seulement évitée.

Cette fois-ci, Google sera en mesure de proposer une mise à jour Google Chrome. Elle est promise le plus rapidement possible.