Pwn2Own 2015 : aucun navigateur n’a été épargné

Le Pwn2Own 2015 s’est déroulé la semaine dernière, à Vancouver, durant la CanSecWest. Comme tous les ans, plusieurs hackers se sont acharnés sur la plupart des navigateurs web du marché, et le verdict n’a pas tardé à tomber : aucun d’entre eux n’a été épargné. Bien au contraire, ils ont tous été mis à genoux, mais l’opération a tout de même rapporté un joli chèque à un expert en sécurité.

Il s’appelle Jung Hoon Lee, il est basé en Corée du Sud, il opère sous le pseudonyme “lokihardt” et il a fait sensation durant le concours puisqu’il ne lui a fallu qu’une poignée de minutes pour venir à bout de Chrome.

Pour se faire, il s’est appuyé sur une méthode reposant sur l’exploitation de deux bugs propres à Windows, et sur un dépassement dans la mémoire tampon du navigateur.

Ce qui lui a rapporté 25 000 dollars d’un côté, et 85 000 dollars de l’autre.

225 000 dollars pour un expert coréen

Et ce n’est pas fini car il s’est ensuite attaqué à Internet Explorer 11, en exploitant une faille qui lui a cette fois rapporté 65 000 dollars. Ensuite, comme il s’ennuyait, il s’est amusé à dégommer la version OS X de Safari, mettant cette fois la main sur 50 000 dollars.

En cumulant l’ensemble de ses gains, on obtient donc un total de 225 000 dollars. Pas mal pour une (petite) journée de travail, pas vrai ?

Oui, il a même battu tous les records et c’est plutôt logique puisqu’il a mis la main, à lui seul, sur la moitié des récompenses en jeu, ne laissant que des miettes à ses concurrents.

Notez tout de même que c’est Chrome qui s’en est sorti le mieux, avec une seule faille de découverte. Safari arrive en seconde position avec deux failles, Firefox en troisième position avec trois failles, Internet Explorer en quatrième position avec quatre failles, et Windows 8.1 en queue de peloton avec cinq failles.

Je ne sais pas ce que vous en pensez mais j’ai hâte de voir ce que donnera la prochaine édition. Surtout que Spartan devrait participer à l’opération.