jeudi 25 mars 2010

Concours de pirates : tous les navigateurs à genoux sauf Chrome

Belle pub pour Chrome. Le navigateur de Google va certainement profiter des résultats du concours Pwn2Ow organisé durant la conférence canadienne sur la sécurité informatique CanSecWest.

Attirés par des récompenses de plusieurs milliers de dollars, des hackers se sont attaqués à tous les navigateurs.

Safari, Internet Explorer et Firefox ont tous succombé aux attaques des participants en quelques minutes. Des mises à jour de sécurité avaient pourtant été installées... A noter qu'une faille de Safari a permis à deux hackers de mettre la main sur tous les SMS d'un iPhone.

Résultat, un seul s'en sort car il n'a pas été ... attaqué par les pirates : Chrome. Pourquoi ? Selon certains participants du concours, Chrome sous Windows (mais c'est encore plus vrai sous GNU/Linux) présente une convergence de plusieurs facteurs qui rendent le logiciel plus délicat à mettre à genoux : pas d’exécution sur la pile, la sandbox (bac à sable) créée par Google et les protections de Windows (DEP et ASLR).

Il faut dire aussi que Google avait pris les devants. Il avait corrigé plusieurs failles importantes quelques jours avant ce concours...

Piratez l'iPhone et gagnez de l'argent...

Comme annoncé dans le précédent billet, voici la première victime du concours organisé en ce moment au Canada : l'iPhone.

Vincenzo Iozzo et Ralf Philipp Weinmann ont trouvé le moyen de récupérer la base de données complète des SMS de l’iPhone (y compris les messages effacés) simplement en redirigeant les utilisateurs vers un site web piégé.

Ils ont reçu 15 000 dollars.

La technique employée par les pirates ne sera révélée que lorsqu'Apple aura colmaté cette faille.

Piratez l'iPhone et gagnez 100 000 dollars

Apple et Microsoft vont trembler pendant trois jours. Les chasseurs de primes vont acourrir à la quatrième édition du concours de piratage informatique Pwn2Own qui s'est ouverte le 24 mars à Vancouver (Canada), dans le cadre d'une conférence sur la sécurité.

Histoire d'être repris par de nombreux médias, les organisateurs sont prêts à lâcher 100 000 dollars aux pirates qui auront craqué un logiciel. A priori, l'iPhone OS et Internet Explorer 8 devraient être les premiers à céder...


A suivre...

mardi 23 mars 2010

Pourquoi il faut utiliser Firefox

L'actualité des navigateurs est agitée. L'arrivée de Google, avec Chrome, a réveillé le petit monde des navigateurs.
La révélation de nombreuses failles touchant ces dernières semaines Internet Explorer a aussi jeté un trouble sur le navigateur le plus utilisé dans le monde. Il ne se passe pas une semaine sans la révélation d'une faille plus ou moins grave touchant le logiciel de Microsoft.

Pour être honnête, il faut préciser que les autres navigateurs sont aussi touchés par des vulnérabilités. MAIS il y a une différence de taille : la rapidité des éditeurs à colmater ces brèches dans lesquelles pourraient s'engouffrer des pirates.

En 48 heures, Google et la Fondation Mozilla ont montré qu'ils étaient de bons élèves (ou des as de la com'...). Hier, Google a colmaté de nombreuses failles, plus ou moins inquiétantes, touchant Chrome.

Aujourd'hui, c'est la Fondation Mozilla qui explose le chrono. Mise à l'index par l'Office Fédéral Allemand pour la Sécurité des Systèmes d'Information (Bundesamt für Sicherheit in des Informationtechnik, BSI) - qui avait pointé du doigt il y a quelques semaines certaines versions d'Internet Explorer - la dernière version de Firefox a bénéficié d'une mise à jour "exceptionnelle" (la version 3.6.2).

A la différence de Microsoft, la Fondation Mozilla a très vite réagi. C'est la preuve d'un sérieux et aussi du respect de l'internaute.

Bravo.

lundi 22 mars 2010

Facebook : deux nouvelles attaques de pirate

C'est la rançon du succès. Le site Zataz révèle deux types d'attaques touchant Facebook.

La première attaque exploite une nouvelle faille de type XSS (Cross Site Scripting).En exploitant cette faille, un pirate "pourrait intercepter très facilement vos cookies, injecter un code malveillant ou orchestrer une redirection malicieuse. Le "Bug" fonctionne à partir du Mur de n'importe quel utilisateur de Facebook".


La seconde attaque exploite un lien redirigeant l'internaute vers un site infecté. Sur n'importe quel mur, si vous voyez le lien commençant par "apps.facebook.com/heureaafceabe", NE CLIQUEZ PAS DESSUS !