Charlie Miller, vainqueur du Pwn2Own : « N’installez pas Flash »

Chaque année, une compétition un peu spéciale a lieu : le concours Pwn2Own. Le but tourne autour de la sécurité : des hackers s’affrontent pour être les premiers à percer une plateforme particulière. Les années précédentes, ce sont les Mac qui ont fait parler d’eux, Safari ayant permis aux « gentils » pirates d’entrer dans le système. Mais ce n’était pas Safari lui-même qui présentait une faille : c’était le plug-in Flash.

Avec la succession des éditions de ce concours, nul doute que les oreilles doivent chauffer chez Apple à Cupertino. Tandis que Steve Jobs ne mâche plus ses mots pour décrire Flash comme une technologie obsolète, c’est Charlie Miller, deux fois vainqueur du Pwn2Own, qui a donné son avis sur la sécurité actuelle des systèmes d’exploitation, et la réponse ne surprend qu’en partie.

Il lui a ainsi été demandé, au cours d’une interview, de donner son avis sur la question : de Windows 7 et Snow Leopard, lequel est le plus difficile à pirater ? « Windows 7 » répond Miller, pour qui la présence d’une implémentation complète de l’ASLR (Address Space Layout Randomization) complique la tâche. Rappelons que cette technologie consiste pour le système d’exploitation à ne pas placer deux fois au même endroit les données critiques dans la mémoire. De même, la DEP (Data Execution Prevention) complique encore un peu les choses. Par contraste, l’implémentation de l’ASLR dans Snow Leopard n’est que partielle. Il a tenu à rappeler quand même que la conférence Black Hat a vu récemment la démonstration d’un exploit sous Windows 7 capable de percer l’ASLR et la DEP.

Concernant le surf, il lui a été demandé de donner la combinaison système d’exploitation et navigateur qui apparaîtrait comme la plus sécurisée : « C’est une bonne question. Chrome ou Internet Explorer 8 sur Windows 7 sans Flash installé ». Car le hacker insiste : « L’essentiel est de ne pas installer Flash ! »

Au sujet des téléphones portables, la question est encore une fois très claire : de l’iPhone ou d’Android, quel système est-il le plus simple à pirater ? Réponse assez logique : « ils sont tous les deux assez sécurisés. J’aurais tendance à dire l’iPhone, parce qu’il est là depuis plus longtemps et que des recherches plus nombreuses ont été faites sur lui. Donc, ce n’est pas qu’il est nécessairement moins sécurisé, c’est simplement que les chercheurs comprennent mieux comment il fonctionne ». Au sujet de la présence de Windows Phone 7 au prochain concours, Charlie Miller a confirmé que le futur système serait une cible de choix

Source : OneItSecurity

Le 2 mars 2010 à 11:19 (38 748 lectures)

Tweeter

Actu Précédente Actu Suivante