Pwn2Own 2019 : piratez le logiciel de la voiture électrique et remportez une Tesla Modèle 3 et près d'un million $
La faille devant être non signalée

Le , par Stan Adkens

127PARTAGES

11  0 
La prime de bogues récompense un chercheur pour avoir découvert une nouvelle faille ou un bogue non signalé. Certaines entreprises en ont fait un programme permanent dans leur organisation qui pourra permet de découvrir d’éventuelles vulnérabilités afin de les corriger avant qu’elles ne soient exploitées par des pirates informatiques à des fins non recommandées. Mais le bug bounty fait aussi l’objet d’un concours, depuis 2007, qui réunit les chercheurs chaque année lors de la conférence sur la sécurité CanSecWest afin de trouver des failles dans des systèmes et repartir avec un prix.

Microsoft a un certain nombre de programme de bug bounty, y compris un Windows Bounty lancé en juillet 2017 pour la découverte des failles dans Windows 10. Le minimum de la prime pour le programme Windows Bounty est de 500 dollars et peut aller jusqu’à 250 000 dollars.

Mozilla a aussi lancé un programme de bug bounty en 2004 pour encourager les développeurs, les experts en sécurité et autres traqueurs de vulnérabilités à participer activement à l’amélioration de la sécurité dans ses produits, en reportant les failles qu’ils auraient découvertes. Au lancement la prime était seulement de 500 dollars. Elle est ensuite passée à 3 000 dollars en 2010 avant d’être revue à la hausse à 7 500 dollars en 2015.

L’Union Européenne, quant à elle, a émis en décembre dernier 14 primes de bogues sur des projets liés aux logiciels libres sur lesquels les institutions au sein de l’Union s’appuient pour effectuer leurs diverses activités. Le programme devrait être lancé au cours de ce mois.


Selon DriverSpark, le concours de piratage de cette année permettra au hacker qui sera capable de pirater le logiciel de la voiture électrique, de repartir avec non seulement une Tesla Modèle 3 mais également un prix en espèce de près d’un million de dollars. L'entreprise de cybersécurité, Trend Micro est l'équipe qui organise chaque année le concours ZDI (Zero Day Initiative) Pwn2Own et cette année il aura lieu à la conférence CanSecWest à Vancouver au Canada du 20 au 22 mars 2019.

Habituellement, les participants reçoivent des ordinateurs portables, des logiciels d'entreprise ou des sites Web à exploiter, mais cette année une Tesla Modèle 3 sera le premier prix à gagner, dans la nouvelle « Catégorie Automobile » du concours et pour le remporter, il faudra découvrir des défauts technologiques de la voiture. En dehors du premier prix, les autres lauréats qui parviendront à pirater le logiciel de la voiture pourront repartir avec une série de prix en espèce.

« Depuis 2007, Pwn2Own est devenu un concours à la pointe de l'industrie qui encourage de nouveaux domaines de recherche sur la vulnérabilité des plates-formes les plus critiques d'aujourd'hui », a déclaré Brian Gorenc, Directeur de la recherche de Vulnérabilité, chez Trend Micro. « Au fil des ans, nous avons ajouté de nouvelles cibles et catégories pour orienter les efforts de recherche vers des domaines qui préoccupent de plus en plus les entreprises et les consommateurs. Cette année, nous nous sommes associés à certains des plus grands noms de la technologie pour poursuivre cet engagement et continuer à mener des recherches pertinentes sur la vulnérabilité », a-t-il ajouté.

Tesla, la société de voiture autonome s’est associée cette année au concours en proposant une Tesla Modèle 3 au premier de ceux celui qui auront découvert une faille dans son logiciel de véhicule électrique. Tesla offre également des primes en espaces allant de 100 à 15 000 dollars aux autres participants qui signaleront des vulnérabilités non déjà signalées. Tesla propose également, en plus des prix, que les noms des gagnants soient affichés dans la section du Temple de la renommée des chercheurs en sécurité Tesla sur le site Web de l'entreprise.

« Tesla apprécie le travail effectué par les chercheurs en sécurité pour améliorer la sécurité de nos produits et services », déclare le site Web. « Nous nous engageons à travailler avec cette communauté pour vérifier, reproduire et répondre aux vulnérabilités légitimes signalées. »

Toutefois, Tesla affirme que ses voitures répondent aux normes de sécurité les plus élevées dans presque tous les domaines et que son travail avec la communauté de la recherche sur la sécurité est inestimable. Par conséquent, si quelqu'un réussit à gagner le concours de piratage Tesla Modèle 3, cela aidera la marque à combler toutes les lacunes inaperçues dans la voiture, a écrit DriveSpark.

L’association de Tesla, qui n’a pas son propre programme de prime de bogues, à ce concours ne peut que lui être profitable. En effet, Tesla pourra corriger les failles si les chercheurs en découvrent lors du concours. Dans le cas contraire, Tesla pourra vendre des véhicules électriques sécurisés et fiables. Quant à Pwn2Own, il aura l’avantage d'avoir le nom de Tesla attaché à son concours.

Selon DriveSpark, le concours se concentrera sur six points focaux différents pour que les participants puissent tester leurs compétences. Jusqu'à ce jour, seulement une trentaine de chercheurs ont pu faire inscrire leur nom sur la liste pour le concours.

Lors de la huitième édition du Pwn2Own en 2015, 7 équipes ont eu 30 minutes pour exploiter leurs cibles et expliquer leurs méthodes dans une série de 12 compétitions en tout. Les cibles visées étaient Chrome, IE 11, Firefox, Adobe Reader et Flash pour Windows et Safari pour Mac OS X.

Les premiers à entrer en lice n'ont pas manqué d'empocher 60 000 $ pour commencer. Les hackers ont exploité un bug de débordement de mémoire dans Flash pour l'exécution de code à distance. Ils ont aussi exécuté une attaque par élévation de privilège au niveau SYSTEM de Windows. Pour y parvenir, les pirates ont exploité une faille TrueType Font (TTF) dans le noyau de l'OS. Ce qui leur a valu une récompense supplémentaire de 25 000$.

Source : DriveSpark

Et vous ?

Que pensez-vous de l’association de Tesla à ce concours ?

Lire aussi

Pwn2Own 2015 : les hackers en action, comment Firefox, Chrome, IE, Safari, Windows, Adobe Flash et Reader ont été piratés
Pwn2Own 2013 : IE 10, Chrome 25, Firefox 19 et Java 7 tombent, les chercheurs empochent 280 000 dollars
L'UE veut lancer, dès janvier 2019, une chasse aux bogues dans les logiciels libres à code source ouvert, pour renforcer la sécurité sur Internet
Mozilla revoit à la hausse la prime pour la découverte des failles dans ses produits, la fondation prête à verser 7 500 $ pour une vulnérabilité
Microsoft lance un Windows Bounty avec des récompenses qui vont jusqu'à 250 000 USD, pour la découverte de failles sur Windows 10

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Stan Adkens
Chroniqueur Actualités https://www.developpez.com
Le 25/03/2019 à 0:08
Pwn2Own 2019 : Tesla, Firefox, Safari, Microsoft Edge et Windows 10 ont été piratés
Et les chercheurs qui ont piraté la Tesla peuvent la garder

Aucun système n’est assez sécurisé au Pwn2Own, surtout pas Firefox, Safari, Microsoft Edge et Windows 10, le navigateur de Tesla, Virtualbox et VMware qui ont été piratés à l’édition 2019. Pwn2Own est un concours organisé par l'équipe Zero-Day Initiative de Trend Micro. Pwn2Own est considéré comme le meilleur concours de piratage pour les chercheurs en sécurité informatique à l’échelle mondiale. Les chercheurs en sécurité se réunissent chaque année lors de la conférence sur la sécurité CanSecWest pour tenter de découvrir des exploits par rapport à une liste de cibles prédéfinies (logiciels). Ils gagnent des points et de l'argent pour chaque exploit réussi. Toutes les vulnérabilités qui accordent des points dans le concours de piratage doivent être nouvelles, et elles sont immédiatement divulguées aux fournisseurs de logiciels.

Pwn2Own Vancouver 2019 : les résultats finaux


Pwn2Own édition 2019 s’est tenu à Vancouver au Canada la semaine dernière et a permis à une équipe de deux chercheurs – l'équipe Fluoroacetate – en sécurité informatique de remporter le premier prix de la compétition générale après avoir découvert des exploits dans Apple Safari, Firefox, Microsoft Edge, VMware Workstation, Windows 10 et dans la voiture Tesla. Ce qui a valu au duo de pouvoir garder également la voiture conformément au règlement du concours annoncé l'automne dernier.

En effet, habituellement, les concurrents dans le concours reçoivent des ordinateurs portables, des logiciels d'entreprise ou des sites Web à exploiter, mais cette année une Tesla Modèle 3 a été accordée comme premier prix, dans la nouvelle « Catégorie automobile » du concours et pour la remporter, il fallait découvrir des défauts technologiques de la voiture. DriveSpark avait écrit dans un article publié en janvier, qu’en dehors du premier prix, les autres lauréats qui parviendraient à pirater le logiciel de la voiture pourraient repartir également avec une série de prix en espèce.

« Tesla apprécie le travail effectué par les chercheurs en sécurité pour améliorer la sécurité de nos produits et services », a déclaré Tesla en janvier dernier. « Nous nous engageons à travailler avec cette communauté pour vérifier, reproduire et répondre aux vulnérabilités légitimes signalées. »

Au Pwn2Own 2019 de Vancouver, les participants ont réussi, lors de la première journée, à pirater le navigateur Web Safari d'Apple, la VirtualBox d'Oracle et VMware Workstation, ce qui leur a permis de gagner un total de 240 000 dollars en prix. L'équipe Fluoroacetate des deux chercheurs a ciblé les trois applications au cours de cette première journée de Pwn2Own, et est parvenue à les exploiter toutes avec succès. Ces exploits ont permis aux deux chercheurs de gagner 160 000 dollars sur les 240 000 dollars remportés lors de la première journée.

Pwn2Own Vancouver 2019 - Résultats de la première journée


Safari d'Apple a été le premier système que l’équipe Fluoroacetate a réussi à faire tomber grâce un bogue JIT (Juste à Temps) avec un débordement de tas pour échapper au bac à sable, selon les résultats de Pwn2Own Vancouver 2019. Ensuite, selon les résultats du concours, ils ont eu raison d’Oracle VirtualBox, dans la catégorie virtualisation du concours. Le dernier programme qu'ils ont exploité, au cours de la première journée, était VMware Workstation, qui leur a apporté une récompense de 70 000 dollars après avoir « tiré parti d'une condition de la compétition menant à une écriture hors limite dans le client VMware pour exécuter leur code sur l'OS hôte ».

C’est seulement cette année que Pwn2Own a proposé pour la première fois une catégorie automobile avec des prix allant de 35 000 dollars à 300 000 dollars en fonction des divers facteurs, dont l'exploit utilisé, pour tenter de pirater un véhicule Tesla Model 3.

Au cours de la troisième journée de l'événement qui a été consacrée au piratage automobile, l'équipe Fluoroacetate, composée d'Amat Cama et Richard Zhu, a piraté la voiture Tesla via son navigateur. Ils ont utilisé un bogue JIT dans le processus de rendu du navigateur pour exécuter du code sur le firmware de la voiture et afficher un message sur son système de divertissement. Conformément au règlement du concours annoncé l'automne dernier, le duo a pu garder la voiture piratée, et en plus de la voiture, ils ont aussi reçu une récompense de 35 000 dollars.

Selon l’article de DriveSpark publié en janvier, Tesla avait affirmé que ses voitures répondaient aux normes de sécurité les plus élevées dans presque tous les domaines et que son travail avec la communauté de la recherche sur la sécurité est inestimable. Par conséquent, si quelqu'un réussit à gagner le concours de piratage Tesla Modèle 3, cela aidera la marque à combler toutes les lacunes inaperçues dans la voiture, avait-il ajouté.

L’équipe Fluoroacetate a remporté le concours de trois jours après avoir obtenu 36 points « Master of Pwn » pour des exploits réussis dans Tesla, Apple Safari, Firefox, Microsoft Edge, VMware Workstation, et Windows 10. Ce qui leur a permis de remporter 375 000 dollars en prix sur un total de 545 000 dollars décernés pendant les trois jours du concours. C’est le deuxième Concours Pwn2Own que l'équipe Fluoroacetate a remporté, après s'être également classée première et avoir reçu le trophée « Master of Pwn » à la conférence Pwn2Own Tokyo en novembre 2018.

« Dans les prochains jours, nous publierons une mise à jour du logiciel relativement à cette recherche », a déclaré samedi un porte-parole de Tesla au sujet de la vulnérabilité de Pwn2Own 2019. « Nous comprenons que cette démonstration a demandé un effort et des compétences extraordinaires, et nous remercions ces chercheurs pour leur travail qui nous a permis de continuer à assurer que nos voitures sont les plus sûres sur la route aujourd'hui », a-t-il ajouté.

Quant à Mozilla, il a patché Firefox un jour après que les chercheurs aient fait la démonstration de deux exploits à Pwn2Own 2019.

Ci-dessous, les résultats de la deuxième journée du Pwn2Own 2019.

Pwn2Own Vancouver 2019 : Résultats de la deuxième journée


Source : Pwn2Own 2019

Et vous ?

Que pensez-vous de l’édition 2019 du concours Pwn2Own ?
Que pensez-vous de cette initiative ?

Lire aussi

Pwn2Own 2015 : les hackers en action, comment Firefox, Chrome, IE, Safari, Windows, Adobe Flash et Reader ont été piratés
Pwn2Own 2013 : IE 10, Chrome 25, Firefox 19 et Java 7 tombent, les chercheurs empochent 280 000 dollars
Un hacker lance FreedomEV, un projet open source qui apporte de nouvelles fonctionnalités aux voitures Tesla, dont un mode de confidentialité
Windows 10 va supprimer automatiquement les mises à jour système qui causent des problèmes, notamment des échecs de démarrage, après leur installation
Firefox 65 promet une sécurité accrue sur Linux, Android et macOS, et apporte le support du format WebP de Google pour un Web plus rapide
Avatar de marsupial
Membre expert https://www.developpez.com
Le 25/03/2019 à 8:28
Les voitures à fermeture centralisées électroniquement sont les plus chers à assurer du fait de la porosité des systèmes de verrouillage. Donc que cette édition s'attaque à Tesla est une excellente chose. Et on s'aperçoit grâce à cette édition que les navigateurs restent des portes d'entrée privilégiées par les hackers.
L'initiative en elle même est excellente mais devrait être plus fréquente sur tous les continents.

Dans l'ensemble, la faiblesse des logiciels en sécurité devrait, depuis le temps que la manifestation existe, inciter les éditeurs à mettre un peu moins de features et plus de qualité dans leur release. Mais le business ne se préoccupe pas de la qualité, juste du retour sur investissement.

Un jour, peut-être... embauchera-ton les concurrents de ce concours dans les équipes de R&D. Nous manquons tellement de ressources humaines en sécurité.
Avatar de frfancha
Membre éclairé https://www.developpez.com
Le 25/03/2019 à 9:23
Safari, Edge et Firefox ... ça va pas aider les gens qui essaient de freiner l'apparition du monde "Chrome only" malheureusement
Avatar de Jiji66
Membre éclairé https://www.developpez.com
Le 25/03/2019 à 10:27
On devrait en faire plus souvent des concours du genre, surtout en Europe afin de permettre un VRAI développement d'une culture du savoir.
Avatar de KsassPeuk
Membre confirmé https://www.developpez.com
Le 25/03/2019 à 14:04
Citation Envoyé par frfancha Voir le message
Safari, Edge et Firefox ... ça va pas aider les gens qui essaient de freiner l'apparition du monde "Chrome only" malheureusement
Il n'a simplement pas été directement targeted : https://www.zerodayinitiative.com/bl...d-live-results

Mais c'est le renderer de Chromium qui a été cassé pour attaquer la Model 3.
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web