Pwn2Own 2019 : Tesla, Firefox, Safari, Microsoft Edge et Windows 10 ont été piratés,
Et les chercheurs qui ont piraté la Tesla peuvent la garder

Le , par Stan Adkens

151PARTAGES

12  0 
Aucun système n’est assez sécurisé au Pwn2Own, surtout pas Firefox, Safari, Microsoft Edge et Windows 10, le navigateur de Tesla, Virtualbox et VMware qui ont été piratés à l’édition 2019. Pwn2Own est un concours organisé par l'équipe Zero-Day Initiative de Trend Micro. Pwn2Own est considéré comme le meilleur concours de piratage pour les chercheurs en sécurité informatique à l’échelle mondiale. Les chercheurs en sécurité se réunissent chaque année lors de la conférence sur la sécurité CanSecWest pour tenter de découvrir des exploits par rapport à une liste de cibles prédéfinies (logiciels). Ils gagnent des points et de l'argent pour chaque exploit réussi. Toutes les vulnérabilités qui accordent des points dans le concours de piratage doivent être nouvelles, et elles sont immédiatement divulguées aux fournisseurs de logiciels.

Pwn2Own Vancouver 2019 : les résultats finaux


Pwn2Own édition 2019 s’est tenu à Vancouver au Canada la semaine dernière et a permis à une équipe de deux chercheurs – l'équipe Fluoroacetate – en sécurité informatique de remporter le premier prix de la compétition générale après avoir découvert des exploits dans Apple Safari, Firefox, Microsoft Edge, VMware Workstation, Windows 10 et dans la voiture Tesla. Ce qui a valu au duo de pouvoir garder également la voiture conformément au règlement du concours annoncé l'automne dernier.

En effet, habituellement, les concurrents dans le concours reçoivent des ordinateurs portables, des logiciels d'entreprise ou des sites Web à exploiter, mais cette année une Tesla Modèle 3 a été accordée comme premier prix, dans la nouvelle « Catégorie automobile » du concours et pour la remporter, il fallait découvrir des défauts technologiques de la voiture. DriveSpark avait écrit dans un article publié en janvier, qu’en dehors du premier prix, les autres lauréats qui parviendraient à pirater le logiciel de la voiture pourraient repartir également avec une série de prix en espèce.

« Tesla apprécie le travail effectué par les chercheurs en sécurité pour améliorer la sécurité de nos produits et services », a déclaré Tesla en janvier dernier. « Nous nous engageons à travailler avec cette communauté pour vérifier, reproduire et répondre aux vulnérabilités légitimes signalées. »

Au Pwn2Own 2019 de Vancouver, les participants ont réussi, lors de la première journée, à pirater le navigateur Web Safari d'Apple, la VirtualBox d'Oracle et VMware Workstation, ce qui leur a permis de gagner un total de 240 000 dollars en prix. L'équipe Fluoroacetate des deux chercheurs a ciblé les trois applications au cours de cette première journée de Pwn2Own, et est parvenue à les exploiter toutes avec succès. Ces exploits ont permis aux deux chercheurs de gagner 160 000 dollars sur les 240 000 dollars remportés lors de la première journée.

Pwn2Own Vancouver 2019 - Résultats de la première journée


Safari d'Apple a été le premier système que l’équipe Fluoroacetate a réussi à faire tomber grâce un bogue JIT (Juste à Temps) avec un débordement de tas pour échapper au bac à sable, selon les résultats de Pwn2Own Vancouver 2019. Ensuite, selon les résultats du concours, ils ont eu raison d’Oracle VirtualBox, dans la catégorie virtualisation du concours. Le dernier programme qu'ils ont exploité, au cours de la première journée, était VMware Workstation, qui leur a apporté une récompense de 70 000 dollars après avoir « tiré parti d'une condition de la compétition menant à une écriture hors limite dans le client VMware pour exécuter leur code sur l'OS hôte ».

C’est seulement cette année que Pwn2Own a proposé pour la première fois une catégorie automobile avec des prix allant de 35 000 dollars à 300 000 dollars en fonction des divers facteurs, dont l'exploit utilisé, pour tenter de pirater un véhicule Tesla Model 3.

Au cours de la troisième journée de l'événement qui a été consacrée au piratage automobile, l'équipe Fluoroacetate, composée d'Amat Cama et Richard Zhu, a piraté la voiture Tesla via son navigateur. Ils ont utilisé un bogue JIT dans le processus de rendu du navigateur pour exécuter du code sur le firmware de la voiture et afficher un message sur son système de divertissement. Conformément au règlement du concours annoncé l'automne dernier, le duo a pu garder la voiture piratée, et en plus de la voiture, ils ont aussi reçu une récompense de 35 000 dollars.

Selon l’article de DriveSpark publié en janvier, Tesla avait affirmé que ses voitures répondaient aux normes de sécurité les plus élevées dans presque tous les domaines et que son travail avec la communauté de la recherche sur la sécurité est inestimable. Par conséquent, si quelqu'un réussit à gagner le concours de piratage Tesla Modèle 3, cela aidera la marque à combler toutes les lacunes inaperçues dans la voiture, avait-il ajouté.

L’équipe Fluoroacetate a remporté le concours de trois jours après avoir obtenu 36 points « Master of Pwn » pour des exploits réussis dans Tesla, Apple Safari, Firefox, Microsoft Edge, VMware Workstation, et Windows 10. Ce qui leur a permis de remporter 375 000 dollars en prix sur un total de 545 000 dollars décernés pendant les trois jours du concours. C’est le deuxième Concours Pwn2Own que l'équipe Fluoroacetate a remporté, après s'être également classée première et avoir reçu le trophée « Master of Pwn » à la conférence Pwn2Own Tokyo en novembre 2018.

« Dans les prochains jours, nous publierons une mise à jour du logiciel relativement à cette recherche », a déclaré samedi un porte-parole de Tesla au sujet de la vulnérabilité de Pwn2Own 2019. « Nous comprenons que cette démonstration a demandé un effort et des compétences extraordinaires, et nous remercions ces chercheurs pour leur travail qui nous a permis de continuer à assurer que nos voitures sont les plus sûres sur la route aujourd'hui », a-t-il ajouté.

Quant à Mozilla, il a patché Firefox un jour après que les chercheurs aient fait la démonstration de deux exploits à Pwn2Own 2019.

Ci-dessous, les résultats de la deuxième journée du Pwn2Own 2019.

Pwn2Own Vancouver 2019 : Résultats de la deuxième journée


Source : Pwn2Own 2019

Et vous ?

Que pensez-vous de l’édition 2019 du concours Pwn2Own ?
Que pensez-vous de cette initiative ?

Lire aussi

Pwn2Own 2015 : les hackers en action, comment Firefox, Chrome, IE, Safari, Windows, Adobe Flash et Reader ont été piratés
Pwn2Own 2013 : IE 10, Chrome 25, Firefox 19 et Java 7 tombent, les chercheurs empochent 280 000 dollars
Un hacker lance FreedomEV, un projet open source qui apporte de nouvelles fonctionnalités aux voitures Tesla, dont un mode de confidentialité
Windows 10 va supprimer automatiquement les mises à jour système qui causent des problèmes, notamment des échecs de démarrage, après leur installation
Firefox 65 promet une sécurité accrue sur Linux, Android et macOS, et apporte le support du format WebP de Google pour un Web plus rapide

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de marsupial
Membre expert https://www.developpez.com
Le 25/03/2019 à 8:28
Les voitures à fermeture centralisées électroniquement sont les plus chers à assurer du fait de la porosité des systèmes de verrouillage. Donc que cette édition s'attaque à Tesla est une excellente chose. Et on s'aperçoit grâce à cette édition que les navigateurs restent des portes d'entrée privilégiées par les hackers.
L'initiative en elle même est excellente mais devrait être plus fréquente sur tous les continents.

Dans l'ensemble, la faiblesse des logiciels en sécurité devrait, depuis le temps que la manifestation existe, inciter les éditeurs à mettre un peu moins de features et plus de qualité dans leur release. Mais le business ne se préoccupe pas de la qualité, juste du retour sur investissement.

Un jour, peut-être... embauchera-ton les concurrents de ce concours dans les équipes de R&D. Nous manquons tellement de ressources humaines en sécurité.
Avatar de frfancha
Membre éclairé https://www.developpez.com
Le 25/03/2019 à 9:23
Safari, Edge et Firefox ... ça va pas aider les gens qui essaient de freiner l'apparition du monde "Chrome only" malheureusement
Avatar de Jiji66
Membre confirmé https://www.developpez.com
Le 25/03/2019 à 10:27
On devrait en faire plus souvent des concours du genre, surtout en Europe afin de permettre un VRAI développement d'une culture du savoir.
Avatar de KsassPeuk
Membre confirmé https://www.developpez.com
Le 25/03/2019 à 14:04
Citation Envoyé par frfancha Voir le message
Safari, Edge et Firefox ... ça va pas aider les gens qui essaient de freiner l'apparition du monde "Chrome only" malheureusement
Il n'a simplement pas été directement targeted : https://www.zerodayinitiative.com/bl...d-live-results

Mais c'est le renderer de Chromium qui a été cassé pour attaquer la Model 3.

 
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web