IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Pwn2Own 2019 : piratez le logiciel de la voiture électrique et remportez une Tesla Modèle 3 et près d'un million $
La faille devant être non signalée

Le , par Stan Adkens

645PARTAGES

11  0 
La prime de bogues récompense un chercheur pour avoir découvert une nouvelle faille ou un bogue non signalé. Certaines entreprises en ont fait un programme permanent dans leur organisation qui pourra permet de découvrir d’éventuelles vulnérabilités afin de les corriger avant qu’elles ne soient exploitées par des pirates informatiques à des fins non recommandées. Mais le bug bounty fait aussi l’objet d’un concours, depuis 2007, qui réunit les chercheurs chaque année lors de la conférence sur la sécurité CanSecWest afin de trouver des failles dans des systèmes et repartir avec un prix.

Microsoft a un certain nombre de programme de bug bounty, y compris un Windows Bounty lancé en juillet 2017 pour la découverte des failles dans Windows 10. Le minimum de la prime pour le programme Windows Bounty est de 500 dollars et peut aller jusqu’à 250 000 dollars.

Mozilla a aussi lancé un programme de bug bounty en 2004 pour encourager les développeurs, les experts en sécurité et autres traqueurs de vulnérabilités à participer activement à l’amélioration de la sécurité dans ses produits, en reportant les failles qu’ils auraient découvertes. Au lancement la prime était seulement de 500 dollars. Elle est ensuite passée à 3 000 dollars en 2010 avant d’être revue à la hausse à 7 500 dollars en 2015.

L’Union Européenne, quant à elle, a émis en décembre dernier 14 primes de bogues sur des projets liés aux logiciels libres sur lesquels les institutions au sein de l’Union s’appuient pour effectuer leurs diverses activités. Le programme devrait être lancé au cours de ce mois.


Selon DriverSpark, le concours de piratage de cette année permettra au hacker qui sera capable de pirater le logiciel de la voiture électrique, de repartir avec non seulement une Tesla Modèle 3 mais également un prix en espèce de près d’un million de dollars. L'entreprise de cybersécurité, Trend Micro est l'équipe qui organise chaque année le concours ZDI (Zero Day Initiative) Pwn2Own et cette année il aura lieu à la conférence CanSecWest à Vancouver au Canada du 20 au 22 mars 2019.

Habituellement, les participants reçoivent des ordinateurs portables, des logiciels d'entreprise ou des sites Web à exploiter, mais cette année une Tesla Modèle 3 sera le premier prix à gagner, dans la nouvelle « Catégorie Automobile » du concours et pour le remporter, il faudra découvrir des défauts technologiques de la voiture. En dehors du premier prix, les autres lauréats qui parviendront à pirater le logiciel de la voiture pourront repartir avec une série de prix en espèce.

« Depuis 2007, Pwn2Own est devenu un concours à la pointe de l'industrie qui encourage de nouveaux domaines de recherche sur la vulnérabilité des plates-formes les plus critiques d'aujourd'hui », a déclaré Brian Gorenc, Directeur de la recherche de Vulnérabilité, chez Trend Micro. « Au fil des ans, nous avons ajouté de nouvelles cibles et catégories pour orienter les efforts de recherche vers des domaines qui préoccupent de plus en plus les entreprises et les consommateurs. Cette année, nous nous sommes associés à certains des plus grands noms de la technologie pour poursuivre cet engagement et continuer à mener des recherches pertinentes sur la vulnérabilité », a-t-il ajouté.

Tesla, la société de voiture autonome s’est associée cette année au concours en proposant une Tesla Modèle 3 au premier de ceux celui qui auront découvert une faille dans son logiciel de véhicule électrique. Tesla offre également des primes en espaces allant de 100 à 15 000 dollars aux autres participants qui signaleront des vulnérabilités non déjà signalées. Tesla propose également, en plus des prix, que les noms des gagnants soient affichés dans la section du Temple de la renommée des chercheurs en sécurité Tesla sur le site Web de l'entreprise.

« Tesla apprécie le travail effectué par les chercheurs en sécurité pour améliorer la sécurité de nos produits et services », déclare le site Web. « Nous nous engageons à travailler avec cette communauté pour vérifier, reproduire et répondre aux vulnérabilités légitimes signalées. »

Toutefois, Tesla affirme que ses voitures répondent aux normes de sécurité les plus élevées dans presque tous les domaines et que son travail avec la communauté de la recherche sur la sécurité est inestimable. Par conséquent, si quelqu'un réussit à gagner le concours de piratage Tesla Modèle 3, cela aidera la marque à combler toutes les lacunes inaperçues dans la voiture, a écrit DriveSpark.

L’association de Tesla, qui n’a pas son propre programme de prime de bogues, à ce concours ne peut que lui être profitable. En effet, Tesla pourra corriger les failles si les chercheurs en découvrent lors du concours. Dans le cas contraire, Tesla pourra vendre des véhicules électriques sécurisés et fiables. Quant à Pwn2Own, il aura l’avantage d'avoir le nom de Tesla attaché à son concours.

Selon DriveSpark, le concours se concentrera sur six points focaux différents pour que les participants puissent tester leurs compétences. Jusqu'à ce jour, seulement une trentaine de chercheurs ont pu faire inscrire leur nom sur la liste pour le concours.

Lors de la huitième édition du Pwn2Own en 2015, 7 équipes ont eu 30 minutes pour exploiter leurs cibles et expliquer leurs méthodes dans une série de 12 compétitions en tout. Les cibles visées étaient Chrome, IE 11, Firefox, Adobe Reader et Flash pour Windows et Safari pour Mac OS X.

Les premiers à entrer en lice n'ont pas manqué d'empocher 60 000 $ pour commencer. Les hackers ont exploité un bug de débordement de mémoire dans Flash pour l'exécution de code à distance. Ils ont aussi exécuté une attaque par élévation de privilège au niveau SYSTEM de Windows. Pour y parvenir, les pirates ont exploité une faille TrueType Font (TTF) dans le noyau de l'OS. Ce qui leur a valu une récompense supplémentaire de 25 000$.

Source : DriveSpark

Et vous ?

Que pensez-vous de l’association de Tesla à ce concours ?

Lire aussi

Pwn2Own 2015 : les hackers en action, comment Firefox, Chrome, IE, Safari, Windows, Adobe Flash et Reader ont été piratés
Pwn2Own 2013 : IE 10, Chrome 25, Firefox 19 et Java 7 tombent, les chercheurs empochent 280 000 dollars
L'UE veut lancer, dès janvier 2019, une chasse aux bogues dans les logiciels libres à code source ouvert, pour renforcer la sécurité sur Internet
Mozilla revoit à la hausse la prime pour la découverte des failles dans ses produits, la fondation prête à verser 7 500 $ pour une vulnérabilité
Microsoft lance un Windows Bounty avec des récompenses qui vont jusqu'à 250 000 USD, pour la découverte de failles sur Windows 10

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de marsupial
Expert éminent https://www.developpez.com
Le 25/03/2019 à 8:28
Les voitures à fermeture centralisées électroniquement sont les plus chers à assurer du fait de la porosité des systèmes de verrouillage. Donc que cette édition s'attaque à Tesla est une excellente chose. Et on s'aperçoit grâce à cette édition que les navigateurs restent des portes d'entrée privilégiées par les hackers.
L'initiative en elle même est excellente mais devrait être plus fréquente sur tous les continents.

Dans l'ensemble, la faiblesse des logiciels en sécurité devrait, depuis le temps que la manifestation existe, inciter les éditeurs à mettre un peu moins de features et plus de qualité dans leur release. Mais le business ne se préoccupe pas de la qualité, juste du retour sur investissement.

Un jour, peut-être... embauchera-ton les concurrents de ce concours dans les équipes de R&D. Nous manquons tellement de ressources humaines en sécurité.
1  0 
Avatar de KsassPeuk
Membre confirmé https://www.developpez.com
Le 25/03/2019 à 14:04
Citation Envoyé par frfancha Voir le message
Safari, Edge et Firefox ... ça va pas aider les gens qui essaient de freiner l'apparition du monde "Chrome only" malheureusement
Il n'a simplement pas été directement targeted : https://www.zerodayinitiative.com/bl...d-live-results

Mais c'est le renderer de Chromium qui a été cassé pour attaquer la Model 3.
1  0 
Avatar de frfancha
Membre éprouvé https://www.developpez.com
Le 25/03/2019 à 9:23
Safari, Edge et Firefox ... ça va pas aider les gens qui essaient de freiner l'apparition du monde "Chrome only" malheureusement
0  0 
Avatar de Jiji66
Membre éprouvé https://www.developpez.com
Le 25/03/2019 à 10:27
On devrait en faire plus souvent des concours du genre, surtout en Europe afin de permettre un VRAI développement d'une culture du savoir.
0  0