Dans le cadre du concours de hacking Pwn2Own, Google parie 20 000 dollars que son navigateur Chrome ne pourra pas être attaqué avec succès.

Norman Hurens  Comme chaque année, et à l’initiative de Tipping Point, le concours de hacking Pwn2Own va se dérouler dans le cadre de la conférence CanSecWest au Canada à partir du 9 mars prochain. Les règles du jeu ont été annoncées hier et la firme de Mountain View a fait le forcing afin que son navigateur Google Chrome soit l’un des challenges à relever par les participants.

Comme Google Chrome utilise WebKit, à l’instar de Safari d’Apple, il était prévu que cette année il ne prenne pas part au concours avec pour seuls représentants du côté des navigateurs  : Internet Explorer, Firefox et donc Safari sous Windows 7 ou Mac OS X. Les navigateurs seront proposés dans leur dernière version Release Candidate en date. Le concours comporte deux cibles, avec outre les navigateurs Web, les téléphones mobiles.

Mais Google ne l’a pas entendu de cette oreille et a réussi à réintégrer Google Chrome dans le concours en proposant de reverser 20 000 dollars à celui qui réussira avec succès une attaque qui prendra à défaut le navigateur. C’est la première fois qu’un éditeur tiers met ainsi de l’argent sur la table, en rappelant que Tipping Point dote déjà généreusement ce concours ( argent et ordinateurs portables ).

Pour prétendre à cette somme de 20 000 $ ( ainsi que le netbook CR-48 équipe de Chrome OS ), un chercheur en sécurité devra au premier jour trouver et exploiter deux vulnérabilités dans le code même de Chrome car il faudra aussi pourvoir s’échapper de la sandbox. Si ce n’est pas le cas, pour les deux autres jours du concours, Google n’offrira plus que 10 000 $ pour un bug dans Chrome et Tipping Point ajoutera 10 000 $ pour une sortie de sandbox ( faille dans un code non-Google ).

L’année dernière, Google Chrome avait été le seul navigateur à ne pas avoir succombé aux attaques informatiques… il faut dire qu’il n’avait tout simplement pas subi d’assauts. Cette année, la situation risque d’être différente car nul doute que l’offre de Google en aura titillé plus d’un. Du reste, si le challenge est difficile à relever, il n’est pas impossible. Le mois dernier, Google a généreusement récompensé un chercheur en sécurité pour la découverte d’un bug critique qui s’est joué de la technologie sandbox