Google dote un concours de hacking de Chrome d'une dotation de 2 millions de dollars, Réactions à la publication du 17/08/2012

[Lionel]

Face aux failles de sécurité de ses logiciels il y a deux manière d'agir. Soit on laisse les choses venir et ensuite on corrige dans l'urgence lorsqu'elles sont découvertes ou exploitées, soit on a une attitude plus proactive en appelant les hackers à les découvrir et ainsi les combler avant leur exploitation. C'est cette seconde solution qu'a choisi Google en dotant le concours de hacking Pwnium d'une dotation de 2 millions de dollars. Cette somme sera distribuée de la manière suivante:

• 60 000 dollars seront donnés à ceux qui découvriront une faille de Chrome permettant une prise de contrôle direct d'une machine sous Windows,
  
• 50 000 dollars seront donnés à ceux qui prendront le contrôle d'une machine grâce à une faille de Chrome associée à d'autres de Windows,
  
• 40 000 dollars pour une faille de prise de contrôle ne concernant pas directement Chrome mais Flash, Windows...,
  
• ceux qui découvriront une faille ne permettant pas une prise de contrôle direct auront droit à un prix déterminé par le jury.

Ainsi, grâce aux prix, Google incitera les hackers à dévoiler les failles plutôt qu'à les exploiter ou les vendre à d'autres qui pourraient les utiliser dans le cadre d'attaques "0 day", c'est à dire avant qu'elles ne soient remontées à Google.
Par Lionel

[GregWar]

Quoi ? Pas un seul pour nous dire que le concours ne touche que des machines sous Windows ?
Ah je suis presque déçu :-)

J'ai un doute sur la démarche, un hacker qui vient réclamer sa prime va se faire connaitre, alors que son identité est sans doute son bien le plus chers.
Soit c'est un mec qui tombe dessus par hasard, genre un groupe d'étudiant qui ont une épiphanie, ou une équipe de développeurs qui tombent dessus alors qu'ils cherchaient autre chose, alors oui, ça leur fait un coup de pub, et un cheque pour financer un projet, ou des vacances.
Soit ce sera un vrai virtuose du hack, et je doute qu'il vende son âme au diable pour 60k.

[ben234]

Je suis assez curieux de connaitre les principes fondamentaux (de base) pour ce genre de hack "une faille de Chrome permettant une prise de contrôle direct d'une machine sous Windows".

Je vais probablement dire des bêtises mais... genre on rentre dans la machine par le port 80 de Chrome et après on fait exécuter des commandes Javascript par Chrome pour effectuer des opérations sur le système (Windows en l'occurence) ?

Je ne comprends pas...

Ce message a été modifié par ben234 - 17 Aug 2012, 10:52.

[iMoi for mac]

Quoi ? Pas un seul pour nous dire que le concours ne touche que des machines sous Windows ?
Ah je suis presque déçu :-)

J'ai un doute sur la démarche, un hacker qui vient réclamer sa prime va se faire connaitre, alors que son identité est sans doute son bien le plus chers.
Soit c'est un mec qui tombe dessus par hasard, genre un groupe d'étudiant qui ont une épiphanie, ou une équipe de développeurs qui tombent dessus alors qu'ils cherchaient autre chose, alors oui, ça leur fait un coup de pub, et un cheque pour financer un projet, ou des vacances.
Soit ce sera un vrai virtuose du hack, et je doute qu'il vende son âme au diable pour 60k.

Le hacker n'est pas que le mechant personnage qui vole vos coordonner bancaire, enfait ca c'est plutot le crackers/black hat, http://fr.wikipedia.org/wiki/Hacker_(s%C3%...9_informatique)

Je suis assez curieux de connaitre les principes fondamentaux (de base) pour ce genre de hack "une faille de Chrome permettant une prise de contrôle direct d'une machine sous Windows".

Je vais probablement dire des bêtises mais... genre on rentre dans la machine par le port 80 de Chrome et après on fait exécuter des commandes Javascript par Chrome pour effectuer des opérations sur le système (Windows en l'occurence) ?

Je ne comprends pas...

Ca n'est pas la premiere fois que cela arrive, un peu plus d'explication sur ce qui est possible ici (anglais) http://arstechnica.com/business/2012/03/go...wser-on-friday/ ((HS : Best pony.))

[iRed]

Je suis assez curieux de connaitre les principes fondamentaux (de base) pour ce genre de hack "une faille de Chrome permettant une prise de contrôle direct d'une machine sous Windows".

Je vais probablement dire des bêtises mais... genre on rentre dans la machine par le port 80 de Chrome et après on fait exécuter des commandes Javascript par Chrome pour effectuer des opérations sur le système (Windows en l'occurence) ?

Je ne comprends pas...

En très gros: on fais exécuter du Javascript qui va faire crasher certains modules de Chrome afin de pouvoir exécuter du code distant. Un super exemple avec FireFox:http://www.vupen.com/blog/20120625.Advance...E-2012-0469.php (attention c'est technique!)

[GregWar]

Le hacker n'est pas que le mechant personnage qui vole vos coordonner bancaire, enfait ca c'est plutot le crackers/black hat, http://fr.wikipedia.org/wiki/Hacker_(s%C3%...9_informatique)

Oui, c'est clair, mais vu le niveau assez élevé nécessaire à réaliser un exploit sur Chrome, c'est soit un cout de chance, soit une expertise assez haut de gamme, et la récompense (tant au point de vue montant, que reconnaissance par ses pairs - parce que Google n'est plus en odeur de sainteté) me semble un peu faiblarde.

Vu la part de marché de Chrome, il y a des choses beaucoup plus marrantes et lucratives à faire si on est capable de transformer toutes ces machines en zombies.
Et en même temps, le challenge QMail n'excédait pas, si ma mémoire est bonne, $500...

C'est donc de savoir si la personne est bien intentionnée ou pas, la récompense n'est pas de nature à faire basculer.

[flan]

Je suis assez curieux de connaitre les principes fondamentaux (de base) pour ce genre de hack "une faille de Chrome permettant une prise de contrôle direct d'une machine sous Windows".

Je vais probablement dire des bêtises mais... genre on rentre dans la machine par le port 80 de Chrome et après on fait exécuter des commandes Javascript par Chrome pour effectuer des opérations sur le système (Windows en l'occurence) ?

Je ne comprends pas...

(on ne rentre pas sur la machine par le port 80, le port 80 est celui sur le serveur, pas celui sur le client)

[ben234]

merci pour vos réponses

[LeFrettchen]

Quoi ? Pas un seul pour nous dire que le concours ne touche que des machines sous Windows ?
Ah je suis presque déçu :-)

Pareil

Le hacker n'est pas que le mechant personnage qui vole vos coordonner bancaire, enfait ca c'est plutot le crackers/black hat, http://fr.wikipedia.org/wiki/Hacker_(s%C3%...9_informatique)

Oui, c'est clair, mais vu le niveau assez élevé nécessaire à réaliser un exploit sur Chrome, c'est soit un cout de chance, soit une expertise assez haut de gamme, et la récompense (tant au point de vue montant, que reconnaissance par ses pairs - parce que Google n'est plus en odeur de sainteté) me semble un peu faiblarde.

Le lien indiqué par iMoi a-t-il été lu en entier ? Google s'adresse aux hackers, pas aux crackers.

1. 60k le "coup de chance", c'est plutôt bien payé je trouve.
2. 60k c'est faiblard pour un hacker ? c'est combien le salaire annuel d'un hacker, selon toi ?
3. La véritable reconnaissance de ses pairs restera professionnelle et technique. La réputation du hacké, peu importe.
4. Même pour un cracker, il y a un gros intérêt : pouvoir se faire connaître signifie aussi pouvoir avoir un super job en sécurité. Le cracker devient alors un hacker.

Vu la part de marché de Chrome, il y a des choses beaucoup plus marrantes et lucratives à faire si on est capable de transformer toutes ces machines en zombies.

Pour un cracker, oui, mais c'est illégal.
La proposition de Google est légale, elle.
C'est là que se fait la distinction hacker/cracker.


En fait, il s'agit de Pwnium 2, Pwnium a déjà eu lieu, et les résultats et noms sont publiés :
http://pwnies.com/winners/

Ce message a été modifié par LeFrettchen - 18 Aug 2012, 00:47.