Pwn2Own 2012 : va y avoir du sport
Chaque année à l’occasion de la conférence CanSecWest, plusieurs concours de sécurité sont organisés afin de tester la fiabilité des systèmes d’exploitation et des principaux navigateurs web.
Jusqu’à présent, le premier qui parvenait à exploiter une faille de sécurité sur une configuration précise repartait avec l’ordinateur ainsi qu’une belle somme d’argent.
Ainsi, l’année dernière, les ingénieurs de la société française, Vupen Security, avaient empoché 15 000 $ et un MacBook Air en tirant profit d’une faille inconnue de Webkit (lire : Pwn2Own 2011 : Apple, victime de son succès ?).
L’édition 2012 de Pwn2Own devrait être encore plus intéressante que les précédentes. Cette fois, ce n’est pas celui qui prendra possession en premier d’un système qui raflera la mise, mais celui qui exploitera le plus de failles de sécurité.
Les participants pourront s’attaquer aux quatre principaux navigateurs (Internet Explorer, Firefox, Chrome et Safari) avec les dernières versions en date de Windows 7 et OS X Lion. Afin de pimenter le tout, les concurrents seront également invités à exploiter des failles connues sur d’anciens systèmes.
Un classement par points sera mis en place. Le premier repartira avec 60 000 $, le second avec 30 000 $ et le troisième 15 000 $. Google rétribuera ceux qui trouvent des failles spécifiques à Chrome.
Pwn2Own 2012 se déroulera à Vancouver du 7 au 9 mars 2012.
image : Jake Turcotte
@Steeve J. :
je crois que l'on s'est mal compris :
- lorsque des "hackers" lancent 1 milliards de connexions sur le même site et le font tomber, je ne dis pas que ce n'est pas efficace, mais que ce n'est pas du hacking.
- lorsque, par l'intermédiaire d'un logiciel on scanne 1 millions de mots de passe à la seconde pour pénétrer dans un fichier, je ne dis pas que ce n'est pas efficace, mais que ce n'est pas du hacking.
Le hackeur a besoin de son intelligence pour trouver la faille laissée par le développeur, il est lui même un excellent développeur qui va fabriquer et utiliser des outils logiciels pour parvenir à ses fins.
Par contre charger un soft qui va faire le boulot à ma place, ne fait pas de moi un hackeur, juste un gas qui a cliqué sur un bouton... même si c'est très efficace.
Vois-tu la différence ?
@Steeve J.
"Autre anomalie : l'année dernière plusieurs hackeurs se sont vu refusé l'inscription pour le hack de Chrome sous prétexte que d'autres équipes s'étaient déjà inscrites mais le jour J il n'y avait plus personne !!!"
Source? (ça m'interresse)
@marc duchesne [28/01/2012 00:56] via MacG Mobile
"Il serait intéressant qu'ils incluent les OS mobiles. Je me demande comment android et w8 se débrouilleraient..."
Sûrement mieux qu'IOS... Je te rappelle quand même que le jailbraik de l'Iphone c'est l'exploitation d'une faille qui te permet d’augmenter tes droits sur la machine... (et par conséquent de faire ce que tu veux) Et visiblement, bien que connue et exploité à grande échelle, Apple ne parviens pas à corriger...
Alors arrête de croire en tes rêves. Si les OS mobiles étaient de la partie, je pense clairement que ce serait Windows Phone 7 le grand vainqueur, loin devant IOS et Android...
Vite mon tournevis !
Ok je sors...
Peut-être que les employés de Microsoft laissent volontairement des failles, et vont ensuite participer à ce concours ? Comme ça ils connaissent déjà les failles à exploiter ?
Non, non, pas la peine de me raccompagner, je sors aussi...
Vas y avoir du sport!!!!!
Chrome et Android vont ils tomber ? ou résister comme l'année dernière ?
[quote]Chrome et Android vont ils tomber ? ou résister comme l'année dernière ?[/quote]
Faut dire qu'ils avaient tellement eu de mérite l'année dernière ...
"En effet, durant ces trois jours, personne n'a essayé de s'attaquer à ces trois systèmes. Les personnes qui avaient prévu de les mettre à l'épreuve se sont désistées pour différentes raisons."
Quand on voit tous les malwares sur Android, ya pas besoin d'un Pwn2own pour voir que c'est pleins de failles...
Question bête : comment vous prononcer Pwn2own ? C'est surtout le premier mot qui me pose problème..
@ hyrok
tu le prononces comme s'il y avait un "o" également. ( pown tou own ;)
60 000 $ !!! Pourquoi je suis pas un hacker moi.... Snif
@mabmac
Merci Beaucoup !! ;)
@fessebook :
'60 000 $ !!! Pourquoi je suis pas un hacker moi.... Snif'
Des hackers, il y en beaucoup moins que ce que l'on pense, et il ne faut pas les confondre avec ceux qui utilisent des softs de hacking et qui n'ont pas les compétences indiscutables qui peuvent mener à 60 000 $.
De plus les failles ne sont pas trouvées pendant mais avant, c'est à dire qu'il faut un gros budget pour participer car il y a plusieurs mois de travail pour une équipe de plusieurs personnes. Et c'est qui qui paye ??? Autre anomalie : l'année dernière plusieurs hackeurs se sont vu refusé l'inscription pour le hack de Chrome sous prétexte que d'autres équipes s'étaient déjà inscrites mais le jour J il n'y avait plus personne !!!
Je comprends pourquoi os X 7.3 n'arrive pas. Ils tentent de colmater les fuites...
De toute façon on va bien voir le résultats de cette année : si personne ne s'attaque à Chrome c'est qu'il y a un loup !!!
Il serait intéressant qu'ils incluent les OS mobiles. Je me demande comment android et w8 se débrouilleraient...
Ou le sont-ils ??
60000 c'est pas tant que sa... Le double ou le triple ferait bien sortir les meilleurs.
Par contre les vrais hackers le font à distance pas en touchant les machines c'est trop facile et le temps de hack d'un code admin sous windows 7 ou même OSX c'est 3 mn, après on fait ce qu'on veux, pas besoin de passer par d'autres moyens.
Les beaux exploits sont ceux du genre "jailbreakme.com" : droits root avec une faille pdf, mais il faut toujours un accès à la machine.
Par contre les machines les moins vulnérables et ça va plaire à inouillart c'est les ChromeBook mais c'est physique !!! Mdr leur donnée sont téléchargées à chaque démarrage et contrôlées sans virus ou autre.
@marc duchesne :
'Il serait intéressant qu'ils incluent les OS mobiles'
C'est déjà le cas !!! Pas pour Windows 8 par contre.
RobRiv [28/01/2012 01:24] via iGeneration pour iPad
Té. Je viens de regarder les règles établies par ZDI qui organise ça et j'ai noté dans le règlement, je site:
" vulnerability that the Zero Day Initiative awards a cash prize for becomes the property of the ZDI, and therefore the winner cannot discuss or disclose details of the 0-day until the affected vendor has successfully patched the issue. "
Ben voyons on va leur filmer gratos ou pour 60000 pépettes nos failles et eux ils vont les monnayer de leur côté... Et on a juste le droit de fermer sa gueule :) qu'elle Pipo tous ça.
---- Je crois qu'ils n'ont pas le choix de divulguer les info's aux propriétaires. Sans cela, je ne crois pas que sa pwn20wn aurait lieu... Et je crois que c'est normal aussi afin de protéger non seulement la vulnérabilité des OS mais aussi celle des utilisateurs, Nous...
Ne pas oublier que le Hacking fait dans un cadre illégal (la + part du temps) est, bien, illégal...
@Steeve J. :
'Par contre les vrais hackers le font à distance pas en touchant les machines c'est trop facile et le temps de hack d'un code admin sous windows 7 ou même OSX c'est 3 mn, après on fait ce qu'on veux, pas besoin de passer par d'autres moyens. '
Jamais de la vie, sinon tous les PC / Mac du monde seraient des passoires !
La plupart du temps une prise de machine à distance est basée sur un premier acte local (mot de passe trouvé par le personnel de nettoyage, cheval de Troie glissé dans un fichier "clic pour me voir", etc...).
Il peut aussi y avoir une recherche d'accès par usage de liste de mots de passe courants (attaque brute) et en dernier l'usage d'un faille non mise à jour sur le serveur attaqué.
Mais les prises à distance comme dans les films, ça reste dans les films heureusement !
@liocec :
Tu me fait rire !!! Tiens pour continuer :
Voici la remise des prix des Awards 2011 des Hackers du monde :
1) Personnalité de l'année: Julian Assange Paul
2) Meilleur groupe Hacking de l'année 2011: ANONYMOUS
3) Meilleur Hackers WhiteHat de l'année 2011: Charlie Miller
4) Meilleur faille de l'année 2011: EMAILS HBGARY FÉDÉRAL faille par ANONYME
5) Meilleur défacement de l'Année 2011: détournement de DNS High Profiles par TURKGUVENLIGI
6) Hack de l'année: INMOTION hébergement (Plus de 700 000 sites Web piratés)
7) Malware de l'Année 2011: DuQu
8) Meilleur Outil de piratage de l'année 2011 - ANTI (Android Réseau Toolkit)
9) Hacker High Profile de l'année 2011: LULZSEC
10) plus grande victime de l'Année 2011: SONY
11) Réseau social le plus spammés : Facebook
12) OS mobile le plus vulnérables de l'Année 2011: ANDROIDS
13) Meilleur livre sur le hacking de l'année: BACKTRACK 5 Test d'intrusion du sans fil
14) Hack le plus innovant: DIGITAL USURPATION certificats par HACKERSAFE COMODO
15) Le plus gros hack de l'Année 2011: Sony Playstation
Ces prix sont décernés par The Hackers news
Bah lion à mon avis va pas être à la fête car il doit y avoir des failles sur ce système encore jeunes ...
Un 10.7.3 serait un plus pour le système ....
@RobRiv :
Et c'est quoi la différence pour toi ?
Cool on va avoir de nombreuses mises à jour système et logicielles avant le concours ! Voire même OS X 10.7.3.
@Francis Kuntz
Le jailbreak de l'Iphone tu sais comment il fonctionne?
C'est l'exploitation d'une faille de sécurité d'IOS...
Quand on sais qu'il y a eu des versions ou il suffisait d'aller sur une page internet et de cliquer sur un bouton pour jailbreaker, ça laisse rêveur sur le niveau de sécurité n'est ce pas?
Arrête de dire des anneries tout le temps - c'est quoi ta prochaine bêtise? linux est moins sécurisé par ce que le code source est ouvert?