Pwn2Own 2012 : va y avoir du sport

Christophe Laporte |


Chaque année à l’occasion de la conférence CanSecWest, plusieurs concours de sécurité sont organisés afin de tester la fiabilité des systèmes d’exploitation et des principaux navigateurs web.

Jusqu’à présent, le premier qui parvenait à exploiter une faille de sécurité sur une configuration précise repartait avec l’ordinateur ainsi qu’une belle somme d’argent.

Ainsi, l’année dernière, les ingénieurs de la société française, Vupen Security, avaient empoché 15 000 $ et un MacBook Air en tirant profit d’une faille inconnue de Webkit (lire : Pwn2Own 2011 : Apple, victime de son succès ?).

L’édition 2012 de Pwn2Own devrait être encore plus intéressante que les précédentes. Cette fois, ce n’est pas celui qui prendra possession en premier d’un système qui raflera la mise, mais celui qui exploitera le plus de failles de sécurité.

Les participants pourront s’attaquer aux quatre principaux navigateurs (Internet Explorer, Firefox, Chrome et Safari) avec les dernières versions en date de Windows 7 et OS X Lion. Afin de pimenter le tout, les concurrents seront également invités à exploiter des failles connues sur d’anciens systèmes.

Un classement par points sera mis en place. Le premier repartira avec 60 000 $, le second avec 30 000 $ et le troisième 15 000 $. Google rétribuera ceux qui trouvent des failles spécifiques à Chrome.

Pwn2Own 2012 se déroulera à Vancouver du 7 au 9 mars 2012.

image : Jake Turcotte
avatar liocec | 

@Steeve J. :
je crois que l'on s'est mal compris :
- lorsque des "hackers" lancent 1 milliards de connexions sur le même site et le font tomber, je ne dis pas que ce n'est pas efficace, mais que ce n'est pas du hacking.
- lorsque, par l'intermédiaire d'un logiciel on scanne 1 millions de mots de passe à la seconde pour pénétrer dans un fichier, je ne dis pas que ce n'est pas efficace, mais que ce n'est pas du hacking.
Le hackeur a besoin de son intelligence pour trouver la faille laissée par le développeur, il est lui même un excellent développeur qui va fabriquer et utiliser des outils logiciels pour parvenir à ses fins.
Par contre charger un soft qui va faire le boulot à ma place, ne fait pas de moi un hackeur, juste un gas qui a cliqué sur un bouton... même si c'est très efficace.
Vois-tu la différence ?

avatar phantoom | 

@Steeve J.
"Autre anomalie : l'année dernière plusieurs hackeurs se sont vu refusé l'inscription pour le hack de Chrome sous prétexte que d'autres équipes s'étaient déjà inscrites mais le jour J il n'y avait plus personne !!!"

Source? (ça m'interresse)

avatar phantoom | 

@marc duchesne [28/01/2012 00:56] via MacG Mobile

"Il serait intéressant qu'ils incluent les OS mobiles. Je me demande comment android et w8 se débrouilleraient..."

Sûrement mieux qu'IOS... Je te rappelle quand même que le jailbraik de l'Iphone c'est l'exploitation d'une faille qui te permet d’augmenter tes droits sur la machine... (et par conséquent de faire ce que tu veux) Et visiblement, bien que connue et exploité à grande échelle, Apple ne parviens pas à corriger...

Alors arrête de croire en tes rêves. Si les OS mobiles étaient de la partie, je pense clairement que ce serait Windows Phone 7 le grand vainqueur, loin devant IOS et Android...

avatar liocec | 

Vite mon tournevis !

Ok je sors...

avatar nayals | 

Peut-être que les employés de Microsoft laissent volontairement des failles, et vont ensuite participer à ce concours ? Comme ça ils connaissent déjà les failles à exploiter ?

Non, non, pas la peine de me raccompagner, je sors aussi...

avatar iori54 | 

Vas y avoir du sport!!!!!

avatar lmouillart | 

Chrome et Android vont ils tomber ? ou résister comme l'année dernière ?

avatar Francis Kuntz | 

[quote]Chrome et Android vont ils tomber ? ou résister comme l'année dernière ?[/quote]
Faut dire qu'ils avaient tellement eu de mérite l'année dernière ...

"En effet, durant ces trois jours, personne n'a essayé de s'attaquer à ces trois systèmes. Les personnes qui avaient prévu de les mettre à l'épreuve se sont désistées pour différentes raisons."

Quand on voit tous les malwares sur Android, ya pas besoin d'un Pwn2own pour voir que c'est pleins de failles...

avatar hyrok | 

Question bête : comment vous prononcer Pwn2own ? C'est surtout le premier mot qui me pose problème..

avatar mabmac | 

@ hyrok
tu le prononces comme s'il y avait un "o" également. ( pown tou own ;)

avatar fessebook | 

60 000 $ !!! Pourquoi je suis pas un hacker moi.... Snif

avatar hyrok | 

@mabmac

Merci Beaucoup !! ;)

avatar liocec | 

@fessebook :
'60 000 $ !!! Pourquoi je suis pas un hacker moi.... Snif'

Des hackers, il y en beaucoup moins que ce que l'on pense, et il ne faut pas les confondre avec ceux qui utilisent des softs de hacking et qui n'ont pas les compétences indiscutables qui peuvent mener à 60 000 $.

avatar Steeve J. | 

De plus les failles ne sont pas trouvées pendant mais avant, c'est à dire qu'il faut un gros budget pour participer car il y a plusieurs mois de travail pour une équipe de plusieurs personnes. Et c'est qui qui paye ??? Autre anomalie : l'année dernière plusieurs hackeurs se sont vu refusé l'inscription pour le hack de Chrome sous prétexte que d'autres équipes s'étaient déjà inscrites mais le jour J il n'y avait plus personne !!!

avatar will42 | 

Je comprends pourquoi os X 7.3 n'arrive pas. Ils tentent de colmater les fuites...

avatar Steeve J. | 

De toute façon on va bien voir le résultats de cette année : si personne ne s'attaque à Chrome c'est qu'il y a un loup !!!

avatar Marc Duchesne | 

Il serait intéressant qu'ils incluent les OS mobiles. Je me demande comment android et w8 se débrouilleraient...

avatar Marc Duchesne | 

Ou le sont-ils ??

avatar Marc Duchesne | 

60000 c'est pas tant que sa... Le double ou le triple ferait bien sortir les meilleurs.

avatar Steeve J. | 

Par contre les vrais hackers le font à distance pas en touchant les machines c'est trop facile et le temps de hack d'un code admin sous windows 7 ou même OSX c'est 3 mn, après on fait ce qu'on veux, pas besoin de passer par d'autres moyens.
Les beaux exploits sont ceux du genre "jailbreakme.com" : droits root avec une faille pdf, mais il faut toujours un accès à la machine.
Par contre les machines les moins vulnérables et ça va plaire à inouillart c'est les ChromeBook mais c'est physique !!! Mdr leur donnée sont téléchargées à chaque démarrage et contrôlées sans virus ou autre.

avatar Steeve J. | 

@marc duchesne :
'Il serait intéressant qu'ils incluent les OS mobiles'
C'est déjà le cas !!! Pas pour Windows 8 par contre.

avatar Marc Duchesne | 

RobRiv [28/01/2012 01:24] via iGeneration pour iPad

Té. Je viens de regarder les règles établies par ZDI qui organise ça et j'ai noté dans le règlement, je site:
" vulnerability that the Zero Day Initiative awards a cash prize for becomes the property of the ZDI, and therefore the winner cannot discuss or disclose details of the 0-day until the affected vendor has successfully patched the issue. "

Ben voyons on va leur filmer gratos ou pour 60000 pépettes nos failles et eux ils vont les monnayer de leur côté... Et on a juste le droit de fermer sa gueule :) qu'elle Pipo tous ça.

---- Je crois qu'ils n'ont pas le choix de divulguer les info's aux propriétaires. Sans cela, je ne crois pas que sa pwn20wn aurait lieu... Et je crois que c'est normal aussi afin de protéger non seulement la vulnérabilité des OS mais aussi celle des utilisateurs, Nous...

avatar Marc Duchesne | 

Ne pas oublier que le Hacking fait dans un cadre illégal (la + part du temps) est, bien, illégal...

avatar liocec | 

@Steeve J. :
'Par contre les vrais hackers le font à distance pas en touchant les machines c'est trop facile et le temps de hack d'un code admin sous windows 7 ou même OSX c'est 3 mn, après on fait ce qu'on veux, pas besoin de passer par d'autres moyens. '

Jamais de la vie, sinon tous les PC / Mac du monde seraient des passoires !

La plupart du temps une prise de machine à distance est basée sur un premier acte local (mot de passe trouvé par le personnel de nettoyage, cheval de Troie glissé dans un fichier "clic pour me voir", etc...).
Il peut aussi y avoir une recherche d'accès par usage de liste de mots de passe courants (attaque brute) et en dernier l'usage d'un faille non mise à jour sur le serveur attaqué.

Mais les prises à distance comme dans les films, ça reste dans les films heureusement !

avatar Steeve J. | 

@liocec :
Tu me fait rire !!! Tiens pour continuer :
Voici la remise des prix des Awards 2011 des Hackers du monde :

1) Personnalité de l'année: Julian Assange Paul

2) Meilleur groupe Hacking de l'année 2011: ANONYMOUS

3) Meilleur Hackers WhiteHat de l'année 2011: Charlie Miller

4) Meilleur faille de l'année 2011: EMAILS HBGARY FÉDÉRAL faille par ANONYME

5) Meilleur défacement de l'Année 2011: détournement de DNS High Profiles par TURKGUVENLIGI

6) Hack de l'année: INMOTION hébergement (Plus de 700 000 sites Web piratés)

7) Malware de l'Année 2011: DuQu

8) Meilleur Outil de piratage de l'année 2011 - ANTI (Android Réseau Toolkit)

9) Hacker High Profile de l'année 2011: LULZSEC

10) plus grande victime de l'Année 2011: SONY

11) Réseau social le plus spammés : Facebook

12) OS mobile le plus vulnérables de l'Année 2011: ANDROIDS

13) Meilleur livre sur le hacking de l'année: BACKTRACK 5 Test d'intrusion du sans fil

14) Hack le plus innovant: DIGITAL USURPATION certificats par HACKERSAFE COMODO

15) Le plus gros hack de l'Année 2011: Sony Playstation

Ces prix sont décernés par The Hackers news

avatar babgond | 

Bah lion à mon avis va pas être à la fête car il doit y avoir des failles sur ce système encore jeunes ...

Un 10.7.3 serait un plus pour le système ....

avatar Steeve J. | 

@RobRiv :
Et c'est quoi la différence pour toi ?

avatar Tomn | 

Cool on va avoir de nombreuses mises à jour système et logicielles avant le concours ! Voire même OS X 10.7.3.

avatar phantoom | 

@Francis Kuntz

Le jailbreak de l'Iphone tu sais comment il fonctionne?
C'est l'exploitation d'une faille de sécurité d'IOS...

Quand on sais qu'il y a eu des versions ou il suffisait d'aller sur une page internet et de cliquer sur un bouton pour jailbreaker, ça laisse rêveur sur le niveau de sécurité n'est ce pas?

Arrête de dire des anneries tout le temps - c'est quoi ta prochaine bêtise? linux est moins sécurisé par ce que le code source est ouvert?

CONNEXION UTILISATEUR