A l'issue du concours, l'analyste de Baltimore se dit fatigué par l'absence de progrès en matière de sécurité et invite les éditeurs à rechercher eux-mêmes leurs bogues. Le développeur qui s'était distingué en 2008 et 2009 pour avoir mis à jour une vulnérabilité sur Safari, a réussi une fois encore à craquer le navigateur Safari d'Apple sur un MacBook Pro tournant sous Snow Leopard. «Nous trouvons un bug, ils le patchent, », a déclaré M. Miller. « Nous trouvons un autre bug, ils le corrigent encore. Cela n'améliore en rien la sécurité du produit. C'est vrai que le logiciel est chaque fois un peu mieux, mais les éditeurs ont vraiment besoin de faire de grands progrès en la matière et je ne peux pas le faire à leur place.

Avec quelques simples lignes de code, Miller a créé ce qu'il a appelé « un générateur de bruit muet. » Cet outil capable de chercher automatiquement les défauts des logiciels, agit en essayant d'insérer des données pour voir là où le programme échoue. Cette technique appelée fuzzing est couramment utilisée non seulement par les chercheurs, mais aussi par les développeurs pour repérer les bugs lors des tests logiciels. Microsoft par exemple, s'est souvent vanté d'utiliser le fuzzing en phase finale de fabrication de ses produits dans le cadre de son cycle de développement sécurisé (SDL) maison.

[[page]]

Le mouchard de Charlie Miller a pour sa part rapidement détecté 20 vulnérabilités dans toute une série de d'applications Mac OS X 10.6.2, alias Snow Leopard, et dans son navigateur Safari. Il a aussi trouvé des failles dans le logiciel de présentation PowerPoint de Microsoft, dans l'Acrobat Reader d'Adobe, et dans OpenOffice.org, la suite de productivité Open Source. Aujourd'hui, Charlie Miller doit prendre la parole à la conférence sur la sécurité CanSecWest, qui se tient à Vancouver en même temps que le Pwn2Own, pour expliquer comment il a trouvé ces failles. Il espère bien qu'Apple, Microsoft et les autres vendeurs seront présents pour entendre ce qu'il a à dire. « Les gens vont me critiquer et dire que je suis un sale type parce que je refuse de livrer la liste des bugs aux éditeurs. Mais cela fait plus de sens pour moi que ce soit ainsi, » a déclaré Charlie Miller. « Ce que je peux faire, c'est leur expliquer comment trouver ces bugs, et les inciter à faire ce que j'ai fait. Cela pourrait les amener à davantage utiliser la méthode du fuzzing. Cela voudra dire aussi qu'ils livreront des logiciels plus sûrs, » a soutenu Charlie Miller.

Car Charlie Miller a été vraiment étonné et déçu de voir à quel point il lui a été facile de trouver ces bogues. « Certains vont peut-être dire que je me vante. Mais je ne suis pas si intelligent. J'ai appliqué une méthode triviale et j'ai réussi à trouver des bugs. » D'autant qu'avec son fuzzer muet, il ne pensait vraiment pas parvenir à détecter des vulnérabilités et remporter le défi. « Mais j'ai trouvé des bugs, beaucoup de bugs. C'est à la fois surprenant et décevant. » Il s'est aussi demandé pourquoi des éditeurs comme Microsoft, Apple et Adobe, lesquels disposent d'équipes d'ingénieurs en sécurité et de dizaines d'ordinateurs pour exécuter des fuzzers, n'avaient pas réussi à identifier ces failles. « Un chercheur et ses trois ordinateurs ne devraient pas être capables d'égaler le travail d'une équipe complète de spécialistes, » a t-il fait valoir. « Cela ne signifie pas qu'ils ne le font pas le fuzzing, mais qu'ils ne le font pas très bien. »

En refusant de livrer les informations techniques sur les vulnérabilités qu'il a découvert, Charlie Miller fait le pari que Microsoft, Apple et les autres feront plus d'efforts, et peut-être, peut-être seulement, seront plus motivés pour effectuer ces vérifications. «Je crois que cela va mettre une certaine pression pour les inciter à trouver ces bugs, » a t-il déclaré.

Â