Retour sur la cinquième édition du concours de hacking Pwn2own qui a eu lieu la semaine dernière.

Si l'on s'intéresse un peu au sujet, ou si on est abonné à des alertes sur le sujet, on ne peut pas avoir manqué cet évènement. Les premiers gros titres étaient du genre : "Concours Pwn2own : Internet Explorer et Safari vaincus, Chrome gagne par forfait". Puis le lendemain, "L’iPhone 4 n’a pas résisté aux hackers du Pwn2Own".

Au premier regard, Internet Explorer 8 et Safari 5 sont des navigateurs non sécurisés, contrairement à Chrome et Firefox qui sont inviolables.

Le problème, est que si l'on lit entre les lignes, Internet Explorer n'a pas reçu la dernière mise à jour disponible, contrairement aux autres navigateurs.

Pour Safari, la team Vupen (société française) a simplement dirigé Safari sur un site contenant un code malicieux qu'elle avait préparé, qui a exploité une vulnérabilité de Webkit. Une faille qui avait été corrigée hier par Apple, mais le patch est arrivé trop tard pour être intégré au browser avant la compétition. Il faut savoir que Webkit est également utilisé pour Google Chrome...

Pour Chrome, le navigateur a une fois encore gagné par forfait, personne n'a souhaiter s'y attaquer... il y a une différence de taille entre personne n'y arrive et personne n'essaye. Surtout que le navigateur a reçu une mise à jour de dernière minute (comportant 19 failles colmatées).

Il reste donc difficile de statuer sur la réelle sécurité ou vulnérabilité de tel ou tel navigateur, tant les cartes semblent tronquées, voir truquées.

Le cas des smartphones

De multiples vulnérabilités de WebKit ont en revanche fait plier le BlackBerry Torch 9800 (OS 6.0.0.246) et une faille dans MobileSafari a été fatale à l'iPhone 4 (iOS 4.2.1 ).

Là encore, Windows Phone 7 et Android ont ainsi vaincu « par forfait » : les hackers qui devaient s’en charger se sont tout simplement désistés. Il faut comme même savoir que le hacker inscrit pour attaquer le smartphone équipé avec Android a informé directement Google sur la faille qu'il comptait exploiter pour le concours... faille basique (de type XSS), donc d'autant plus inquiétante, corrigée juste avant le concours. C'est facile de gagner dans ces conditions !!

Le cas des smartphones semble plus inquiétant, les failles exploitées sont réelles et pas forcément comblées (voir l'article La vulnérabilité de l'IPhone due aux mises à jour impossibles).

Pour conclure, je trouve que ce type de concours, avec les inégalités flagrantes de traitement entre les différents concurrents, n'est pas représentatif de la sécurité de tel ou tel appareil ou logiciel. La meilleure des sécurités reste la prudence de l'utilisateur.

Pour en savoir plus :

• "Concours Pwn2own : Internet Explorer et Safari vaincus, Chrome gagne par forfait" par la rédaction, ZDNet France.
• "Concours Pwn2Own 2011 : l’iPhone 4 et le BlackBerry Torch hackés" par businessMOBILE.fr
• "Pwn2Own 2011 : BlackBerry et l'iPhone 4 vaincus lors du concours de hacking, les produits Google demeurent intouchés " par Katleen
• "L’iPhone 4 n’a pas résisté aux hackers du Pwn2Own" par Eric Le Bourlout, 01net
• "Pwn2Own : Chrome touché mais pas coulé" par Stéphane Bellec, 01net.