Le mouchard de Charlie Miller a pour sa part rapidement détecté 20 vulnérabilités dans toute une série de d'applications Mac OS X 10.6.2, alias Snow Leopard, et dans son navigateur Safari. Il a aussi trouvé des failles dans le logiciel de présentation PowerPoint de Microsoft, dans l'Acrobat Reader d'Adobe, et dans OpenOffice.org, la suite de productivité Open Source. Aujourd'hui, Charlie Miller doit prendre la parole à la conférence sur la sécurité CanSecWest, qui se tient à Vancouver en même temps que le Pwn2Own, pour expliquer comment il a trouvé ces failles. Il espère bien qu'Apple, Microsoft et les autres vendeurs seront présents pour entendre ce qu'il a à dire. « Les gens vont me critiquer et dire que je suis un sale type parce que je refuse de livrer la liste des bugs aux éditeurs. Mais cela fait plus de sens pour moi que ce soit ainsi, » a déclaré Charlie Miller. « Ce que je peux faire, c'est leur expliquer comment trouver ces bugs, et les inciter à faire ce que j'ai fait. Cela pourrait les amener à davantage utiliser la méthode du fuzzing. Cela voudra dire aussi qu'ils livreront des logiciels plus sûrs, » a soutenu Charlie Miller.
Car Charlie Miller a été vraiment étonné et déçu de voir à quel point il lui a été facile de trouver ces bogues. « Certains vont peut-être dire que je me vante. Mais je ne suis pas si intelligent. J'ai appliqué une méthode triviale et j'ai réussi à trouver des bugs. » D'autant qu'avec son fuzzer muet, il ne pensait vraiment pas parvenir à détecter des vulnérabilités et remporter le défi. « Mais j'ai trouvé des bugs, beaucoup de bugs. C'est à la fois surprenant et décevant. » Il s'est aussi demandé pourquoi des éditeurs comme Microsoft, Apple et Adobe, lesquels disposent d'équipes d'ingénieurs en sécurité et de dizaines d'ordinateurs pour exécuter des fuzzers, n'avaient pas réussi à identifier ces failles. « Un chercheur et ses trois ordinateurs ne devraient pas être capables d'égaler le travail d'une équipe complète de spécialistes, » a t-il fait valoir. « Cela ne signifie pas qu'ils ne le font pas le fuzzing, mais qu'ils ne le font pas très bien. »
En refusant de livrer les informations techniques sur les vulnérabilités qu'il a découvert, Charlie Miller fait le pari que Microsoft, Apple et les autres feront plus d'efforts, et peut-être, peut-être seulement, seront plus motivés pour effectuer ces vérifications. «Je crois que cela va mettre une certaine pression pour les inciter à trouver ces bugs, » a t-il déclaré.
Un gagnant du concours Pwn2Own renvoie Apple et Microsoft à leurs bogues
0
Réaction
Newsletter LMI
Recevez notre newsletter comme plus de 50000 abonnés
Suivre toute l'actualité
Newsletter
Recevez notre newsletter comme plus de 50 000 professionnels de l'IT!
Je m'abonne
Commentaire