Cette année, l’objectif de la compétition était de forcer la sécurité de trois machines portables : l’une fonctionnant sous Windows Vista Ultimate SP1, la deuxième équipée d’une distribution Ubuntu 7.10 et la troisième embarquant Mac OS, le système d’exploitation d’Apple, dans sa version 10.5.2.
C’est finalement le MacBook Air utilisé qui a le premier rendu les armes sous les assauts des pirates dès lors que ces derniers ont eu l’autorisation de directement manipuler la machine.
Sponsorisée par un fournisseur de services en sécurité, cette compétition qui se déroule sur trois jours vise à découvrir de nouvelles failles, communiquées par la suite aux éditeurs concernés afin qu’ils puissent les corriger.
Au passage, le fait de confronter Windows Vista, Mac OS et Linux permet d’exacerber les passions, et d’obtenir une large couverture médiatique.
Le premier jour, seules les attaques à distance, par l’intermédiaire du réseau, sont autorisées.
Les règles sont ensuite assouplies et au deuxième jour, les attaquants peuvent manipuler les machines, et les faire par exemple naviguer sur un site Web piégé par leurs soins.
C’est là que les défenses du MacBook Air ont cédé, un hacker nommé Charlie Miller ayant réussi à exploiter, en quelques minutes seulement, une faille encore inconnue du navigateur Safari.
Enfin, au troisième jour, les attaquants disposent de la possibilité d’installer des composants logiciels tiers, comme le lecteur Flash d’Adobe grâce auquel Shane Macaulay, consultant en sécurité, a pu mettre à mal Windows Vista équipé de son Service Pack 1.
On observera que dans un cas, l’intrusion est rendue possible par un mauvais comportement de l’utilisateur (visite d’un site infecté) et dans l’autre par l’installation d’un composant logiciel indépendant.
Fanch