Pwn2Own : un hacker refuse de dévoiler à Adobe, Microsoft et Apple leurs failles

26 mars 2010

Vainqueur trois années de suite des épreuves de hacking sur Mac OS X lors du Pwn2Own, Charlie Miller estime que trop de failles subsistent dans les logiciels, en raison notamment d’une mauvaise utilisation des outils de fuzzing par les éditeurs.

Charlie Miller est un expert en sécurité renommé. Il est désormais connu pour avoir remporté durant trois années consécutives l’épreuve de hacking d’un ordinateur Apple sous Mac OS X lors du Pwn2Own.

Le 24 mars, lors de l’édition 2010 du Pwn2Own qui se déroule dans le cadre de la conférence CanSecWest, Charlie Miller a gagné le prix de 10.000 dollars et un MacBook Pro grâce à l’exploitation d’une faille dans Safari 4 sous Snow Leopard.

Charlie Miller préfère montrer aux éditeurs comment progresser

Le 25 mars, Charlie Miller a exprimé sa lassitude face aux faibles progrès accomplis par les éditeurs dans la sécurisation de leurs applications. Le chercheur déclare avoir découvert plus de 20 vulnérabilités dans différentes applications (Snow Leopard, PowerPoint, PDF Reader, OpenOffice, …), notamment d’Apple, Microsoft et Adobe.

Estimant que les éditeurs ne s’impliquent pas assez dans la détection des failles et le durcissement de leur code, Charlie Miller a décidé de ne pas communiquer aux éditeurs les vulnérabilités. A la place, l’expert souhaite leur indiquer comment les détecter.

Cela ne devrait pas poser de problèmes à ces éditeurs puisque Miller juge que ces failles sont relativement simples à détecter grâce à des outils de fuzzing (dont le principe consiste à injecter automatiquement et aléatoirement des données dans des applications). Microsoft utilise d’ailleurs déjà des fuzzers dans le cadre de son programme SDL (Security Development Lifecycle).

Charlie Miller espère ainsi encourager les éditeurs à faire plus appel, et de manière plus efficace, à ces logiciels d’audit de code pour détecter en amont les failles de leurs logiciels. Il n’est pas certain toutefois que les éditeurs de logiciels apprécient cette méthode de communication.