Safari, Tesla et d'autres ciblés par la chasse aux failles du Pwn2Own 2020

Mickaël Bazoge |

Sans trop de surprises, le concours Pwn2Own aura de nouveau lieu cette année durant la conférence CanSecWest, qui se tiendra du 18 au 20 mars dans la riante mais pluvieuse cité canadienne de Vancouver. Les hackers sont invités à faire la démonstration de leurs trouvailles en matière de failles de sécurité, avec beaucoup de sous à la clé, et même une Model 3. Au total, c'est plus d'un million de dollars, en cash comme en lots, qui seront distribués par les partenaires de Trend Micro (VMware, Microsoft et Tesla), organisateur du Zero Day Initiative.

Une des catégories traditionnelles les plus prisées concerne les vulnérabilités dans les navigateurs web. Safari n'y échappe pas : le bidouilleur qui parviendra à démontrer en direct une faille dans le bac à sable du butineur ou une élévation des privilèges dans le noyau de macOS décrochera respectivement 60 000 et 70 000 $. Chrome et Edge (Chromium) sont plus richement dotés : 100 000 $ pour chacune de ces failles. L'an dernier, durant la même compétition, ce sont deux grosses failles de sécurité qui avaient été présentées.

Parmi les autres catégories du concours, les amateurs pourront se frotter aux logiciels de virtualisation (VirtualBox d'Oracle, Workstation et ES Xi de VMware, Hyper-V de Microsoft) ; aux applications d'entreprises (Adobe Reader et Office 365 ProPlus) ; aux logiciels côté serveur (Windows RDP/RDS) ; à l'élévation des privilèges pour Ubuntu et Windows 10. Et comme l'an dernier, les hackers pourront présenter des vulnérabilités concernant la Model 3. Les plus intrépides repartiront avec la voiture.

Trop stylé, mais pas en daim malheureusement.

Chaque démonstration de faille réussie permet d'engranger des points, ce qui permet de couronner un « Master of Pwn », qui recevra des points Zero Day Initiative, un trophée, et surtout une super veste trop stylée (ci-dessus). Les vulnérabilités révélées par ces spécialistes en sécurité sont surveillées de près par les éditeurs et constructeurs. À ce propos, rappelons qu'Apple a ouvert son programme de chasse (rémunérée) aux failles à tous les chercheurs.

Tags
avatar DareMac | 

Donc, soit c’est plus difficile de hacker Chrome/Chromium, car ça rapporte plus de points et d’argent, soit les autres sont chiches. ;-)

avatar Guizilla | 

@DareMac

Ils sont juste basés sur le même moteur, moteur le plus utilisé dans le monde.

avatar Zegorax | 

@DareMac

Non, ça rapporte plus d'argent car ils tournent chez un plus large pourcentage d'utilisateurs.

avatar occam | 

La valeur boursière de Tesla dépasse aujourd’hui les valeurs cumulées de General Motors et Ford :
https://www.reuters.com/article/us-usa-stocks-tesla/teslas-market-value-...

Tesla peut donc non seulement se permettre cette largesse, mais encore profite massivement de la chasse aux failles de ses systèmes embarqués.

avatar Trillot Bernard | 

@occam

Oui, enfin, ce n'est pas Tesla qui détient la valeur boursière de l'entreprise!

avatar Ali Ibn Bachir Le Gros | 

@occam

La valeur boursière d'une entreprise c'est de la daube. C'est souvent totalement déconnecté des réalités économiques.

avatar jeromewebnet@yahoo.fr | 

trop stylé ??? quelle horreur cette veste pas gout !

avatar jeromewebnet@yahoo.fr | 

trop stylé ??? quelle horreur cette veste pas gout !

avatar bhelden | 

@jeromewebnet@yahoo.fr

Quel horreur ! Cet individu utilise son adresse électronique en guise de pseudonyme Internet !

avatar dodomu | 

@jeromewebnet@yahoo.fr

Je vous conseille de changer votre pseudonyme s'il ne s'agit pas d'une adresse mail jetable, car d'une part des robots spammeurs vont finir par la trouver sur ce site, et d'autre part elle risque de ne plus être considérée comme une donnée personnelle, étant donné que vous l'avez divulgué vous même.

avatar Ginger bread | 

@dodomu

Si ça se trouve c’est même pas la sienne :/

avatar WhipperSnapper | 

:D

avatar raoolito | 

@Ginger bread

hahha oui ce serait bien plus vicieux ! :D

avatar Bigdidou | 

@raoolito

« hahha oui ce serait bien plus vicieux ! :D »

Tu as jamais inscrit quelqu’un à une mailing list de site porno pour te venger d’un truc ? Maintenant ça fonctionne moins bien, mais il y a 19-15 ans, avec des sites zoophiles bien choisis, c’était top.

avatar macfredx | 

@Bigdidou

Donc tu avais des adresses de sites zoophiles... 😈😈😈

avatar Bigdidou | 

@macfredx

« Donc tu avais des adresses de sites zoophiles... 😈😈😈 »

Eeeeet merde !
Je me suis encore fait avoir :D

avatar naas | 

@macfredx

Vincennes est connu de tous

avatar Moonwalker | 

Le CanSecWest...

Le marronnier de début d'année de la presse informatique.

CONNEXION UTILISATEUR