Objet : Liste pour les discussions techniques (liste à inscription publique)
Archives de la liste
- From: antoine AT starinux.org
- To: technique AT april.org
- Subject: Concours de Hack entre Mac , Ubuntu , Vista : qui a gagné ou perdu ?
- Date: Tue, 1 Apr 2008 10:13:03 +0000
Compétition de Hacking entre les 3 OS : "Mac OS X" , Ubuntu" et Vista :
-----------------------------------------------
Sécurité/ - Lors d’une compétition de hacking organisée au Canada, un
portable équipé de Mac OS X Leopard a été le premier a succombé aux
attaques, via une faille dans Safari. Suivi d’une machine équipée de
Vista. Seul un PC sous Ubuntu est resté inviolé.*
Le MacBook Air, dernier PC portable d'Apple, a été le premier ordinateur
à succomber aux attaques d'experts en sécurité lors du concours de
/hacking/ PWN2OWN 2008 qui s'est tenu durant la série de conférences
CanSecWest, organisée par la société Tipping Point (3Com) du 26 au 28
mars à Vancouver.
L'objectif était de mettre à l'épreuve trois systèmes d'exploitation :
Mac OS X Leopard
<http://www.zdnet.fr/galerie-image/0,50018840,39374916,00.htm> (10.5.2),
Ubuntu 7.10
<http://www.zdnet.fr/galerie-image/0,50018840,39374699,00.htm> et
Windows Vista <http://www.zdnet.fr/themas/0,50008740,4000002660q,00.htm>
(Edition Intégrale SP1) sur le terrain de la sécurité. Ils étaient
respectivement installés sur le MacBook Air, le portable Sony Vaio
VGN-TZ37CN, et le portable Fujitsu U810 - les machines étaient dans leur
configuration d'origine. La mission des hackers était d'en prendre le
contrôle et de lire un fichier stocké sur leur disque dur.
Le premier jour, ces trois portables ont subi des attaques à distance,
via le réseau, sans aucun accès physique. Pendant 24 heures, ils ont
résisté aux tentatives ; aucun hacker n'ayant réussi à en prendre
totalement le contrôle.
Le deuxième jour, les règles concernant l'accès aux machines ont été
assouplies. Les attaquants pouvaient compter sur un minimum d'actions de
la part des utilisateurs des machines, comme : ouvrir un e-mail ou
entrer une adresse web dans le navigateur.
C'est au cours de cette épreuve que le MacBook Air a succombé aux
attaques. Charlie Miller, l'un des participants, a mis seulement deux
minutes pour en prendre le contrôle, en exploitant une faille de
sécurité, encore inconnue, du navigateur Safari. Conformément au
règlement du concours, il n'a pas divulgué publiquement les détails de
cette faille, qui sera d'abord corrigée par Apple.
*MacBook Air, cible privilégiée du concours ?*
Charlie Miller aurait simplement dirigé Safari vers une page qu'il a
réalisée pour l'occasion et qui contenait du code malveillant. Lors de
ce même concours il y a un an, le hacker avait déjà réussi à casser les
protections de l'iPhone. Il est reparti cette année avec 10 000 dollars
en poche de prime et le MacBook Air piraté.
Les machines sous Vista et Ubuntu ont, quant à elles, résisté à cette
deuxième épreuve. Elles sont donc passées à la suivante organisée le
troisième jour, avec des règles encore plus assouplies : les hackers
pouvaient exploiter des applications tierces installées sur les deux
machines comme Acrobat Reader ou Skype.
Le portable sous Windows Vista a alors succombé, via une faille
exploitée dans le Flash Player d'Adobe, aux assauts de Shane Macauley,
épaulée par d'autres experts. Elle a remporté 5 000 dollars de prix. Le
Sony Vaio équipé d'Ubuntu a, en revanche, résisté aux attaques durant
les trois jours du concours et sort donc grand vainqueur.
Reste que cette compétition fait l'objet d'une controverse sur la
blogosphère, notamment sur le cas du MacBook Air
<http://www.roughlydrafted.com/2008/03/29/mac-shot-first-10-reasons-why-cansecwest-targets-apple/>
qui aurait été pris pour une cible privilégiée. Certains observateurs
notent également que des failles ont été découvertes dans Ubuntu
<http://www.pcworld.com/article/id,143962-c,hackers/article.html> mais
n'ont pas été exploitées. Enfin, la faille ayant permis la prise de
contrôle du portable Fujitsu concerne le logiciel Flash Player d'Adobe
et non directement Vista.
------------------------------------
antoine Waché
- Concours de Hack entre Mac , Ubuntu , Vista : qui a gagné ou perdu ?, antoine, 01/04/2008
Archives gérées par MHonArc 2.6.16.