CanSecWest : Safari tombe le premier
On avait pris Charlie Miller à faire le malin au début du mois de mars (voir «Safari : trop facile à craquer ?») lorsqu’il déclarait qu’après après fait tomber Safari sous Mac en 2008, le butineur pommé serait de nouveau le premier à tomber en 2009… et il avait raison !
Il repart avec 5000 $ et le MacBook tandis que les représentants d’Apple sur place ont pu ajouter une entrée à leur liste de corrections à apporter.
Ceci posé, on est quand même en droit de s’interroger sur l’éthique personnelle et professionnelle de “l’expert en sécurité principal” d’une part, ou sur la dimension de la faille exploitée, dans la mesure où Charles Miller a déclaré avoir découvert ladite faille depuis l’année dernière : soit la vulnérabilité est significative, et donc devait être signalée, soit ce n’est pas le cas et le concours commence à ressembler à un attrape-nigaud médiatique monté pour servir de caisse de résonance à la conférence qui l’accueille. L’an passé, le MacBook dans lequel Miller était rentré n’avait pas reçu les mises à jour de sécurité publiées par Apple…
Côté PC, le Sony équipé de Windows 7 est lui aussi tombé via Safari et Internet Explorer 8.
On attend maintenant avec impatience le concours lancé sur les mobiles (iPhone, BlackBerry, Android, Symbian et Windows Mobile). Cette fois Miller ne devrait pas remporter la palme, il a en effet déclaré qu’il n’avait rien pour l’iPhone et ne pas connaître assez le système de Google. Rappelons qu’il avait déjà été le premier à mettre au jour une faille dans les premières versions de Safari Mobile.
Safari hole exploited in seconds at security conference
PWN2OWN Final Rules
