A l’occasion de la conférence CanSecWest, qui se déroule actuellement à Vancouver (Canada), les trois grands navigateurs sont tombés. Internet Explorer 8, Firefox et Safari ont tous étés compromis selons les règles du concours : machine entièrement patchée, en visitant un site piégé. Une bonne affaire pour les hackers à l’origine de ces exploits, qui empochent la somme rondelette de dix mille dollars chacun.

Il y a hélas encore peu de détails au sujet des vulnérabilités exploitées, sinon que pour IE8 et Firefox l’attaque a été menée sur Windows 7 et contourne la protection offerte par l’ASLR (Address Space Layout Randomization) et DEP (Data Execution Prevention), les deux mécanismes d’anti-exploitation de Windows. Safari a, lui, été compromis sous MacOS X Snow Leopard.

Considérant que les systèmes étaient entièrement patchés et les navigateurs étaient à leur toute dernière version, l’affaire plaide largement en la faveur de mesures de sécurité en profondeur et du concept de « tolérance aux intrusion » : que pouvez-vous faire pour non pas empêcher une intrusion mais plutôt en limiter l’impact ?

Enfin, toujours lors de CanSecWest, d’autres chercheurs ont démontrés comment ils étaient en mesure de voler la totalité des SMS contenus dans un iPhone non-jailbreaké à la simple visite d’un site web piégé (très probablement via une vulnérabilité du navigateur Safari embarqué, qui s’exécute avec des droits administrateurs dans l’iPhone). Eux ont gagné quinze mille dollars, en revanche…