Safari, Tesla et d'autres ciblés par la chasse aux failles du Pwn2Own 2020
Sans trop de surprises, le concours Pwn2Own aura de nouveau lieu cette année durant la conférence CanSecWest, qui se tiendra du 18 au 20 mars dans la riante mais pluvieuse cité canadienne de Vancouver. Les hackers sont invités à faire la démonstration de leurs trouvailles en matière de failles de sécurité, avec beaucoup de sous à la clé, et même une Model 3. Au total, c'est plus d'un million de dollars, en cash comme en lots, qui seront distribués par les partenaires de Trend Micro (VMware, Microsoft et Tesla), organisateur du Zero Day Initiative.
Une des catégories traditionnelles les plus prisées concerne les vulnérabilités dans les navigateurs web. Safari n'y échappe pas : le bidouilleur qui parviendra à démontrer en direct une faille dans le bac à sable du butineur ou une élévation des privilèges dans le noyau de macOS décrochera respectivement 60 000 et 70 000 $. Chrome et Edge (Chromium) sont plus richement dotés : 100 000 $ pour chacune de ces failles. L'an dernier, durant la même compétition, ce sont deux grosses failles de sécurité qui avaient été présentées.
Parmi les autres catégories du concours, les amateurs pourront se frotter aux logiciels de virtualisation (VirtualBox d'Oracle, Workstation et ES Xi de VMware, Hyper-V de Microsoft) ; aux applications d'entreprises (Adobe Reader et Office 365 ProPlus) ; aux logiciels côté serveur (Windows RDP/RDS) ; à l'élévation des privilèges pour Ubuntu et Windows 10. Et comme l'an dernier, les hackers pourront présenter des vulnérabilités concernant la Model 3. Les plus intrépides repartiront avec la voiture.
Chaque démonstration de faille réussie permet d'engranger des points, ce qui permet de couronner un « Master of Pwn », qui recevra des points Zero Day Initiative, un trophée, et surtout une super veste trop stylée (ci-dessus). Les vulnérabilités révélées par ces spécialistes en sécurité sont surveillées de près par les éditeurs et constructeurs. À ce propos, rappelons qu'Apple a ouvert son programme de chasse (rémunérée) aux failles à tous les chercheurs.
Donc, soit c’est plus difficile de hacker Chrome/Chromium, car ça rapporte plus de points et d’argent, soit les autres sont chiches. ;-)
@DareMac
Ils sont juste basés sur le même moteur, moteur le plus utilisé dans le monde.
@DareMac
Non, ça rapporte plus d'argent car ils tournent chez un plus large pourcentage d'utilisateurs.
La valeur boursière de Tesla dépasse aujourd’hui les valeurs cumulées de General Motors et Ford :
https://www.reuters.com/article/us-usa-stocks-tesla/teslas-market-value-zooms-past-that-of-gm-and-ford-combined-idUSKBN1Z72MU
Tesla peut donc non seulement se permettre cette largesse, mais encore profite massivement de la chasse aux failles de ses systèmes embarqués.
@occam
Oui, enfin, ce n'est pas Tesla qui détient la valeur boursière de l'entreprise!
@occam
La valeur boursière d'une entreprise c'est de la daube. C'est souvent totalement déconnecté des réalités économiques.
trop stylé ??? quelle horreur cette veste pas gout !
trop stylé ??? quelle horreur cette veste pas gout !
@jeromewebnet@yahoo.fr
Quel horreur ! Cet individu utilise son adresse électronique en guise de pseudonyme Internet !
@jeromewebnet@yahoo.fr
Je vous conseille de changer votre pseudonyme s'il ne s'agit pas d'une adresse mail jetable, car d'une part des robots spammeurs vont finir par la trouver sur ce site, et d'autre part elle risque de ne plus être considérée comme une donnée personnelle, étant donné que vous l'avez divulgué vous même.
@dodomu
Si ça se trouve c’est même pas la sienne :/
:D
@Ginger bread
hahha oui ce serait bien plus vicieux ! :D
@raoolito
« hahha oui ce serait bien plus vicieux ! :D »
Tu as jamais inscrit quelqu’un à une mailing list de site porno pour te venger d’un truc ? Maintenant ça fonctionne moins bien, mais il y a 19-15 ans, avec des sites zoophiles bien choisis, c’était top.
@Bigdidou
Donc tu avais des adresses de sites zoophiles... 😈😈😈
@macfredx
« Donc tu avais des adresses de sites zoophiles... 😈😈😈 »
Eeeeet merde !
Je me suis encore fait avoir :D
@macfredx
Vincennes est connu de tous
Le CanSecWest...
Le marronnier de début d'année de la presse informatique.