Et surtout, pas le genre de coup auquel on pouvait s'attendre. Pwn2Own est un concours de hacking qui se déroule traditionnellement en marge de la conférence de sécurité CanSecWest de Vancouver. L'édition 2016 se déroulera le mois prochain.

Ce concours récompense par des primes substantielles les chercheurs en sécurité qui démontrent l'existence de failles dans les logiciels largement utilisés. Plus l'exploit d'une faille est techniquement avancé, plus l'effet est fort (exécution de code arbitraire, évasion de sandbox, etc.) plus la prime est élevée. Normalement ce concours porte de rudes coups techniques aux logiciels, mais ce sont au final des coups qui leur sont bénéfiques et qui renforcent leur sécurité.

Cette année VMWare Workstation entre dans le concours. Une évasion d'une machine virtuelle VMWare sera récompensée 75 000 dollars. Les cibles habituelles sont toujours là : Windows et Mac OS X en ce qui concerne les systèmes d'exploitation. Safari, Chrome et Edge en ce qui concerne les navigateurs, et bien sûr Flash lorsqu'il tourne dans Edge.

Et Firefox ?? Et bien il n'est pas là. Le concours ne récompensera pas d'exploit faits à travers ce navigateur cette année. Pourquoi ? Brian Gorenc, responsable en sécurité chez HP Enterprise (HPE  est un des sponsors du Pwn2Own), a donné à eWeek une explication sous la forme d'une sentence sans appel : Nous nous concentrons sur les navigateurs qui ont faits de sérieux progrès dans la sécurité au cours de l'année dernière. Autrement dit : Firefox n'est pas assez solide pour Pwn2Own...

Un malheur n'arrivant jamais seul, la semaine dernière une discussion dans un forum Mozilla dénoncait le manque de réactivité et d'efficacité des responsables en sécurité de Firefox. Un informaticien qui avait soumis à Mozilla un bug de sécurité de Firefox reproche à la fondation de ne pas avoir pris en compte son rapport 80 jours après.

Mauvais coup pour la réputation du navigateur... Espérons que la fondation Mozilla réagira promptement.