Windows Vista : Le prix de la sécurité

PWN to Own, c’est un concours annuel de piratage organisé par CanSecWest, le géant de la sécurité numérique qui vise à mesurer et tester la sécurité des différents systèmes d’exploitation et tester l’efficacité et la performance de certaines sociétés de sécurité informatique.
Cette année, le concours a mis en course trois ordinateurs portables avec 3 systèmes d’exploitation différents, dont voici le détail :

-Sony VAIO VGN-TZ37CN tournant sous Ubuntu 7.10
-Fujitsu Siemens U810 tournant sous Vista Ultimate SP1
-Apple MacBook Air sous Mac OSX 10.5.2

Le but principal de ce concours est de déterrer de façon responsable les vulnérabilités dans ces systèmes de sorte que les fournisseurs affectés puissent y remédier. Notons que les failles et les vulnérabilités doivent rester confidentielles et ne doivent être communiquées qu’à ceux de droit pour des raisons de sécurité.
La récompense s’élevant à 10 000 dollars en plus l’ordinateur portable piraté a sûrement poussé les pirates à donner le meilleur d’eux même.

Lors du premier jour du concours, les 3 systèmes ont tenu tête, aucun d’entre eux n’a cédé. Le règlement stipule que lors du premier jour, les attaques ne doivent se faire que sur le système proprement dit ne passant que par une connexion réseau. Le premier jour a mis ainsi les 3 systèmes en lice sur le même pied d’égalité, mettant ainsi fin aux bruits qui courent sur la vulnérabilité du système de Microsoft.

Au deuxième jour, les permissions s’étendent sur les applications et les programmes installés sur un environnement à usage normal et c’est là que les choses sont devenues plus intéressantes.
Le premier à céder n’avait pas résisté plus de deux minutes et l’heureux gagnant des 10 000 dollars s’est vu offrir le MacBook Air. Passant par une faille de sécurité dans le navigateur Safari, Charlie Miller, Jake Honoroff, and Mark Daniel, ingénieurs en sécurité informatique chez Independent Security Evaluators, ont rapidement pris le contrôle de l’ordinateur en question laissant tout le monde se poser des questions sur la mythique sécurité du Mac OS X de Steve Jobs.

Le troisième et dernier jour du concours, d’autres applications et logiciels, jugés populaires par le jury, sont installés sur les deux systèmes qui tiennent encore le coup.
Plus de sept heures après le début des tentatives acharnées, voila que le deuxième gagnant s’empare du Fujitsu équipé de Windows Vista et obtient le deuxième prix s’élevant à 5 000 dollars. Shane Macaulay Ingénieur chez Security Objective et vainqueur de l’édition précédente du concours, n’a pas failli à sa réputation mais il n’a pu prendre le contrôle de l’ordinateur qu’après avoir installé la dernière version de l’Adobe flash Player recourant aussi à l’aide de certains de ses collègues.

Windows reprend un peu son souffle après toutes les polémiques qui tournaient autour de son insécurité et ses failles longtemps critiquées. Surtout que cette chute en deuxième lors du concours de sécurité informatique n’est due qu’à une application de tierce partie.

Microsoft n’a pas cessé de promouvoir la sécurité de son nouveau système qui reste cependant sujet à plusieurs polémiques portant sur sa lenteur, sa gourmandise et son incompatibilité sans oublier aussi son interface peu ergonomique et ses alertes de sécurité redondantes et peu confortables.
Ce concours et cette victoire nous donnent aussi une idée sur le rapport sécurité, efficacité et ergonomie. Surtout que l’utilisation des systèmes à base de linux reste encore restreinte à une petite minorité.