Pwn2Own Vancouver 2019 : les résultats finaux
Pwn2Own édition 2019 s’est tenu à Vancouver au Canada la semaine dernière et a permis à une équipe de deux chercheurs – l'équipe Fluoroacetate – en sécurité informatique de remporter le premier prix de la compétition générale après avoir découvert des exploits dans Apple Safari, Firefox, Microsoft Edge, VMware Workstation, Windows 10 et dans la voiture Tesla. Ce qui a valu au duo de pouvoir garder également la voiture conformément au règlement du concours annoncé l'automne dernier.
En effet, habituellement, les concurrents dans le concours reçoivent des ordinateurs portables, des logiciels d'entreprise ou des sites Web à exploiter, mais cette année une Tesla Modèle 3 a été accordée comme premier prix, dans la nouvelle « Catégorie automobile » du concours et pour la remporter, il fallait découvrir des défauts technologiques de la voiture. DriveSpark avait écrit dans un article publié en janvier, qu’en dehors du premier prix, les autres lauréats qui parviendraient à pirater le logiciel de la voiture pourraient repartir également avec une série de prix en espèce.
« Tesla apprécie le travail effectué par les chercheurs en sécurité pour améliorer la sécurité de nos produits et services », a déclaré Tesla en janvier dernier. « Nous nous engageons à travailler avec cette communauté pour vérifier, reproduire et répondre aux vulnérabilités légitimes signalées. »
Au Pwn2Own 2019 de Vancouver, les participants ont réussi, lors de la première journée, à pirater le navigateur Web Safari d'Apple, la VirtualBox d'Oracle et VMware Workstation, ce qui leur a permis de gagner un total de 240 000 dollars en prix. L'équipe Fluoroacetate des deux chercheurs a ciblé les trois applications au cours de cette première journée de Pwn2Own, et est parvenue à les exploiter toutes avec succès. Ces exploits ont permis aux deux chercheurs de gagner 160 000 dollars sur les 240 000 dollars remportés lors de la première journée.
Pwn2Own Vancouver 2019 - Résultats de la première journée
Safari d'Apple a été le premier système que l’équipe Fluoroacetate a réussi à faire tomber grâce un bogue JIT (Juste à Temps) avec un débordement de tas pour échapper au bac à sable, selon les résultats de Pwn2Own Vancouver 2019. Ensuite, selon les résultats du concours, ils ont eu raison d’Oracle VirtualBox, dans la catégorie virtualisation du concours. Le dernier programme qu'ils ont exploité, au cours de la première journée, était VMware Workstation, qui leur a apporté une récompense de 70 000 dollars après avoir « tiré parti d'une condition de la compétition menant à une écriture hors limite dans le client VMware pour exécuter leur code sur l'OS hôte ».
C’est seulement cette année que Pwn2Own a proposé pour la première fois une catégorie automobile avec des prix allant de 35 000 dollars à 300 000 dollars en fonction des divers facteurs, dont l'exploit utilisé, pour tenter de pirater un véhicule Tesla Model 3.
Au cours de la troisième journée de l'événement qui a été consacrée au piratage automobile, l'équipe Fluoroacetate, composée d'Amat Cama et Richard Zhu, a piraté la voiture Tesla via son navigateur. Ils ont utilisé un bogue JIT dans le processus de rendu du navigateur pour exécuter du code sur le firmware de la voiture et afficher un message sur son système de divertissement. Conformément au règlement du concours annoncé l'automne dernier, le duo a pu garder la voiture piratée, et en plus de la voiture, ils ont aussi reçu une récompense de 35 000 dollars.
Selon l’article de DriveSpark publié en janvier, Tesla avait affirmé que ses voitures répondaient aux normes de sécurité les plus élevées dans presque tous les domaines et que son travail avec la communauté de la recherche sur la sécurité est inestimable. Par conséquent, si quelqu'un réussit à gagner le concours de piratage Tesla Modèle 3, cela aidera la marque à combler toutes les lacunes inaperçues dans la voiture, avait-il ajouté.
L’équipe Fluoroacetate a remporté le concours de trois jours après avoir obtenu 36 points « Master of Pwn » pour des exploits réussis dans Tesla, Apple Safari, Firefox, Microsoft Edge, VMware Workstation, et Windows 10. Ce qui leur a permis de remporter 375 000 dollars en prix sur un total de 545 000 dollars décernés pendant les trois jours du concours. C’est le deuxième Concours Pwn2Own que l'équipe Fluoroacetate a remporté, après s'être également classée première et avoir reçu le trophée « Master of Pwn » à la conférence Pwn2Own Tokyo en novembre 2018.
« Dans les prochains jours, nous publierons une mise à jour du logiciel relativement à cette recherche », a déclaré samedi un porte-parole de Tesla au sujet de la vulnérabilité de Pwn2Own 2019. « Nous comprenons que cette démonstration a demandé un effort et des compétences extraordinaires, et nous remercions ces chercheurs pour leur travail qui nous a permis de continuer à assurer que nos voitures sont les plus sûres sur la route aujourd'hui », a-t-il ajouté.
Quant à Mozilla, il a patché Firefox un jour après que les chercheurs aient fait la démonstration de deux exploits à Pwn2Own 2019.
Ci-dessous, les résultats de la deuxième journée du Pwn2Own 2019.
Pwn2Own Vancouver 2019 : Résultats de la deuxième journée
Source : Pwn2Own 2019
Et vous ?
Que pensez-vous de l’édition 2019 du concours Pwn2Own ?
Que pensez-vous de cette initiative ?
Lire aussi
Pwn2Own 2015 : les hackers en action, comment Firefox, Chrome, IE, Safari, Windows, Adobe Flash et Reader ont été piratés
Pwn2Own 2013 : IE 10, Chrome 25, Firefox 19 et Java 7 tombent, les chercheurs empochent 280 000 dollars
Un hacker lance FreedomEV, un projet open source qui apporte de nouvelles fonctionnalités aux voitures Tesla, dont un mode de confidentialité
Windows 10 va supprimer automatiquement les mises à jour système qui causent des problèmes, notamment des échecs de démarrage, après leur installation
Firefox 65 promet une sécurité accrue sur Linux, Android et macOS, et apporte le support du format WebP de Google pour un Web plus rapide