'exploitation de Chrome 11 avec contournement de sandbox, DEP et ASLR sous Windows 7 64bits est un petit exploit qui a permis à VUPEN de se faire un joli coup de pub. La nouvelle a en effet été reprise à tours de bras dans la presse en ligne plus ou moins spécialisée. La performance technique mérite peut-être qu'on s'y attarde, il y a quand même dans cette annonce quelque chose qui me chatouille.
Très peu sont ceux qui ont tiqué sur les deux dernières phrases qui concluaient l'annonce :
This code and the technical details of the underlying vulnerabilities will not be publicly disclosed. They are shared exclusively with our Government customers as part of our vulnerability research services.
Brian Krebs a tout de même senti le besoin de creuser un peu ces lignes qui se sont étoffées depuis mercredi matin d'un "for security reasons" dont j'ai un peu de mal, justement, à saisir à l'opportunité...
Ce que m'inspire cette annonce est à des kilomètres de la descente en règle façon Verizon, mais elle me dérange profondément. Car il est une chose que de rechercher des vulnérabilités dans les logiciels que tout un chacun utilise et de développer les exploits qui vont avec, et de vendre le fruit de ce travail en exclusivité. Certains outre-atlantique le font déjà, et d'aucuns argumenteront que le communiqué de VUPEN ne fait que dire tout haut ce beaucoup font sous le manteau. Qu'ils feraient en quelque sorte tomber un secret de polichinelle. Il me semble pour autant relever d'une toute autre chose de revendre le fruit de ce travail avant même que l'éditeur ait été informé des tenants et aboutissants du problème, et surtout d'aller d'en vanter sur la place publique.
Quand on colle le terme "Security" à son nom, cela implique, me semble-t-il, une volonté de fournir un travail qui contribue à faire avancer la sécurité. Ne serait-ce que sur une petite partie de l'espace numérique sur lequel on travaille. À mon sens, cette annonce ne s'inscrit clairement pas dans un telle démarche, et j'aimerais bien qu'on m'explique en quoi ne pas révéler à Google les détails de la vulnérabilité exploitée et des techniques utilisées pour s'extraire de la sandbox de Chrome va dans le sens de l'amélioration de la sécurité. Qu'on ne les révèle pas publiquement avant la sortie d'un correctif en bonne et due forme, rien de plus naturel, mais j'avoue que j'ai le plus grand mal à comprendre les "security reasons" qui motivent la restriction de cette diffusion à quelques clients gouvernementaux dont on ne sait rien sinon qu'ils seraient triés sur le volet, et surtout ce qu'ils feront de ces informations[1].
Bref, quand je lis des choses comme ça de la part de VUPEN, je n'ai pas l'impression de pédaler dans le même sens...
Ceci étant dit, en l'absence du moindre détail technique, les spéculations vont encore bon train alors que Google s'est empressé de réfuter l'existence d'une faille dans Chrome, arguant pour une faille dans Flash. Mais comme à quelque chose malheur[2] est souvent bon, cet exploit aura au moins eu l'intérêt de rappeler que le sandboxing, surtout sur un système pas vraiment prévu pour, n'est pas chose aisée, en particulier pour contenir les conséquences de l'exploitation de logiciels à l'historique particulièrement gratiné et toujours promis à un bel avenir...
Mais bon, même avec ça, Chrome reste l'un des navigateurs les plus sûrs, sinon le plus sûr. Ne serait-ce que parce qu'il arrive avec son propre lecteur PDF minimaliste ;)
Notes
[1] Lesquelles viennent de perdre l'essentiel de leur valeur suite à cette annonce...
[2] Il ne s'agit certes pas de malheur, tout au mieux d'infortune, mais bon, il fallait bien caser un bon mot ;)