Pwn2Own : des dizaines de failles de sécurité trouvées, mais rien pour l'iPhone
Ni l'iPhone, ni l'écosystème d'Apple n'ont intéressé les hackers durant le dernier événement Pwn2Own organisé à Toronto la semaine dernière ! Les bidouilleurs ont préféré faire la démonstration de failles de sécurité dans le Galaxy S22 (un appareil pris quatre fois pour cible, avec succès). Une équipe est même parvenue à exploiter une faille « zero day » dans le smartphone de Samsung en… 55 secondes.
Pas d'iPhone au rendez-vous donc, ni aucun logiciel ou système d'Apple. En mai dernier, durant la Pwn2Own de Vancouver, les spécialistes avaient débusqué une vulnérabilité dans Safari. Pour être tout à fait complet, il n'y a pas eu non plus de Pixel de Google qui a fait partie de la compétition.
Durant cette folle semaine de hacking, ce sont des imprimantes (Canon, HP, Lexmark), des routeurs (Netgear, TP-Link, Cisco), des NAS (Synology, WD), des enceintes connectées (Sonos) qui ont été visés. En tout, 63 failles « zero day » uniques ont fait l'objet d'une démonstration par 36 équipes représentant 14 pays. Les gagnants se partagent quasiment 1 million de dollars.
Rendez-vous en février prochain à la prochaine Pwn2Own, où il y aura peut-être des iPhone…
C’est plutôt un très bon signe.
Espérons ne pas en revoir de sitôt
@tempest
““C’est plutôt un très bon signe.
Espérons ne pas en revoir de sitôt”
Est ce qu’un bon signe aurait ete d’avoir une ribambelle de produits apple presents, et qu’aucune une faille ne soit decouverte? 🤨
@Paquito06
Je pense plutôt qu’il n’y avait pas d’espoir de gains donc pas de produit Apple. Le sort de la marque ils s’en fichent, les hackers de ce type de concours cherchent les gains immédiats.
@tempest
“Je pense plutôt qu’il n’y avait pas d’espoir de gains donc pas de produit Apple. Le sort de la marque ils s’en fichent, les hackers de ce type de concours cherchent les gains immédiats.”
Oui ,fort possible. Il aurait fallu se creuser la tete un peu plus longtemps que 55 sec probablement 😅
@tempest
Ou simplement qu’ils ont décidé de ne plus perdre de temps à chercher des failles et laisse Apple se débrouiller.
@Insomnia
Ou alors, les failles rapportent bien plus quand elles sont vendues ailleurs..
@redchou
En effet 😊
C'est clair.
"En tout, 63 failles « zero day » uniques ont fait l'objet d'une démonstration par 36 équipes représentant 14 pays. Les gagnants se partagent quasiment 1 million de dollars."
Environ 15.000$ la faille (si elles étaient toutes payées pareil).
Si le but est de protéger les utilisateurs, il faut contacter Apple, qui en plus peut payer 75.000$ pour une faille zero-day : https://www.imore.com/apple-paid-out-75000-hacker-who-used-zero-day-exploit-hijack-iphone-camera
Et pour les gens sans scrupules, Zerodium peut payer une faille jusqu'à 2,5 millions de $, par exemple.
> Pas d'iPhone au rendez-vous
Zut alors, je suis déçu. 🤪
Pfff c’est parce que l’iPhone est Teeeeeellement facile a hacker qu’il n’intéresse plus personne. 😄Pensez-vous, iOS n’est pas open source 😱 !
C'est marrant cette recherche désespérée de certains à vouloir critiquer Apple quand il n'y a rien à critiquer, de préférence sur un site qui parle essentiellement des actualités concernant Apple et qui s'appelle "mac génération". Je me demande ce qu'un psy penserait de ces gens là.
Y a un psy dans la salle pour faire une analyse ?
@marc_os
nan mais apple c’est leur némésis, ils se sentent en relation de conflit permanent avec l’entreprise
@marc_os
Je pensais la même.
Démonstration des failles sur des S22 => « c’est parce qu’Apple ne les intéresse plus et ils les laissent se débrouiller puis ça rapporte plus de les vendre ailleurs »
Si ça avait été des failles principalement dans l’iPhone => « oh bah Apple ils sont nuls, et ils parlent de sécurité, comme quoi c’est pas infaillible »
Quoiqu’il arrive, ces personnes auront toujours à dire, avec des commentaires bien à charge parfois…
@Yoshi_1
Du coup Google avec son Android et son pixel sont a minima aussi bon que Apple voir même plus :CQFD
@marc_os
“C'est marrant cette recherche désespérée de certains à vouloir critiquer Apple quand il n'y a rien à critiquer, de préférence sur un site qui parle essentiellement des actualités concernant Apple et qui s'appelle "mac génération". Je me demande ce qu'un psy penserait de ces gens là.
Y a un psy dans la salle pour faire une analyse ?”
Ce n’est pas critiquer apple, mais etre integre dans l’interpretation des donnees, auxquelles on peut faire dire ce qu’on veut. Tu lis le titre, tu te dis chouette, l’iPhone est tres securisé. En details, l’iPhone etant absent du challenge, ca ne veut pas dire qu’en s’y penchant un peu, on n’aurait rien trouvé. Ca s’appelle aussi l’esprit critique et c’est tres 🇫🇷😁
@Paquito06
« Ce n’est pas critiquer apple » fallait la faire celle la 😊
(Ne auriez-vous pas remarqué que personne ici ne parle de Google et de son pixel ?)
@marc_os
Je ne suis pas psy, je ne fait qu’en consulter 😄
Par contre si vous en connaissez un personnellement, ou mieux un professeur en psychiatrie, vous pouvez effectivement lui conseiller de venir voir ici de telle en temps, il y trouveras une source riche d’exemples à utiliser dans ses cours 😂
@Yves SG
“(Ne auriez-vous pas remarqué que personne ici ne parle de Google et de son pixel ?)”
On est sur quel type de forum?
@Paquito06
On est surtout dans un article qui parle notamment d’énormes failles de sécurité sur le Galaxy S22 😉
@Yves SG
“On est surtout dans un article qui parle notamment d’énormes failles de sécurité sur le Galaxy S22 😉”
Je vois oui. Mais qui possede un galaxy s22 dans les commentaires pour en parler? Je crois qu’on a tous, en majorite du moins, un iphone, qui n’est meme pas present pour le challenge.
Ca existe toujours le jailbreak?
Depuis iOS 16 Apple fait du bon boulot et 16.2 devrait enfoncer le clou !
Ça c’est le Apple que l’on veut voir, et ça fait mieux passer la pilule des prix exorbitants 😈
@R-APPLE-R
Si ils enfoncent le clou ils vont se crucifier en fait ✝️
Puis iOS 16 est nuuuuuul Apple a perdu le chemin de la lumière
@bhelden
Apple a ressuscité avec iOS 16 😈
@R-APPLE-R
Ils ont ressuscité le chaos et l'inutilité 🔥🙌
@bhelden
L’enfer va bientôt se déchaîner sur la concurrence et purifier le monde d’Android hahahahaha 😈😈😈😈
@R-APPLE-R
Le apple que je veut voir moi c'est celui avant ios 7 celui qui peaufinait sont Os chaque années meme au risque de passer pour des "qui n'innovent plus)
Maintenant chaques années du nouveau ...... mais rien de bien fini.
Ça aurait été intéressant de savoir le pourquoi.
@ cosmoboy34
> Ça aurait été intéressant de savoir le pourquoi
Parce que.
C'est à cause du grand complot. 👹
Probablement.
iOS 16 est jailbreaké avec checkra1n. Il y avait donc bien des failles zéro day. Il en reste probablement encore, mais ça n’intéresse personne. Les OS d’Apple sont tout aussi vulnérables que les autres, il n’y a juste plus hype.
@Gotmilker
Checkra1n n’exploite pas une faille d’iOS. Elle exploite une faille matérielle présente de l’iPhone 4S à l’iPhone X.
Mais ils ont quand même rajouté des sécurités pour en compliquer l’utilisation.
C’est pas une faille zero day qui plus est… elle est corrigée depuis les iPhone XS.
Je ne comprends pas bien ce truc de « 55 secondes ». Les gars ont sans doute travaillé des semaines pour trouver et exploiter cette faille. Ce temps court montre qu’il est aisé à mettre en œuvre certes mais il était malgré tout sans doute difficile à trouver.
Au moins un commentaire intelligent.
@curly bear
Beaucoup de failles nécessitent de la force brute ou des conditions aléatoires particulières et le hack est long à mettre en place. 55s cela veut une faille grande ouverte.
Les failles iOS sont sûrement mieux rémunérées du coté obscure…
@pfx
“Les failles iOS sont sûrement mieux rémunérées du coté obscure…”
Ah ben ca… NSO facture $500k pour installer Pegasus sur un iPhone, alors que les whitehat se partagent $1 million🤣
Oui dommage que personne n’est visée Apple…
Ça prouve juste qu’Apple ne paye pas assez les hackers …
Et qu’il est de moins en moins aisé de trouver une faille dans leur système
Le titre est clairement trompeur car il laisse croire que l'iPhone n'est pas concerné par d'éventuelles failles de sécurité. Or, on apprend juste qu'aucun appareil Apple n'a été ciblé par cet événement. Ce n'est vraiment pas la même chose.
@ Avenger
> on apprend juste qu'aucun appareil Apple n'a été ciblé par cet événement
Ou comment transformer une information pour lui faire dire ce qu'elle n'a pas dit.
Explication de texte : Dire qu'aucune faille n'a été trouvée chez Apple, ça ne veut pas dire que la marque n'a pas été ciblée. Au contraire, en général c'est une cible privilégiée car il est plus gratifiant pour beaucoup de faire tomber une forteresse, ou quelqu'un qui prétend avoir un système parfait, qu'un petit fortin. Sans parler de l'Apple bashing que ça permet. Mais j'ai comme l'impression que ces gens là en vérité sont sérieux et qu'il ne font pas que retourner des nouvelles pour satisfaire leurs psyché comme pratiqué bien souvent par de petits commentateurs. 😎
@marc_os
Ou alors, ceux qui trouvent des failles iOS ne s’amusent pas à les dévoiler dans ce genre d’événement pour se partager 1 millions de dollars à 36, quand certains exploits qui ciblent l’iPhone sont vendus plus d’un million…
@ redchou
> Ou alors, ceux qui trouvent des failles iOS ne s’amusent pas à les dévoiler dans ce genre d’événement pour se partager
Ou alors, vous cherchez désespérément des arguments pour sauver vos préjugés.
Or il suffit de faire une petite recherche sur Internet pour voir que votre hypothèse est contredite. Il suffit pour cela de trouves les failles trouvées dans en commençant par l'année dernière :
PWN2OWN 2021 - JOUR 1
CATÉGORIE: Navigateur
Jack Dates de chez RET2 Systems
CIBLE : Apple Safari
METHODE : Dépassement d'entier + écriture OOB pour l'exécution de code au niveau du noyau
RÉSULTAT : Victoire ! 100 000 $ et 10 points
https://www.comptoir-hardware.com/actus/software-pilotes/43823-pown2own-2021-tous-les-resultats-en-bref-.html
Edit : Et même en mai de cette année !
https://www.macg.co/logiciels/2022/05/safari-un-bug-de-securite-50-000-presente-au-pwn2own-2022-129185
@marc_os
Wahou ! 50 et 100k !
Je ne vois pas trop en quoi ça contredit ce que j’ai dit.
Mais ça doit vraiment être tentant quand Zerodium achetait déjà des failles à 1 millions de dollars il y a 7 ans…
La dernière fois j’avais vu passer le même genre de concours c’était à 2,5 millions… 😅
@ redchou
> Wahou ! 50 et 100k !
> Je ne vois pas trop en quoi ça contredit ce que j’ai dit.
Vous ne voyez pas ?
Achetez-vous des lunettes ou consultez pour Alzheimer.
Car vous avez écrit ceci, souvenez-vous :
> ceux qui trouvent des failles iOS ne s’amusent pas à les dévoiler dans ce genre d’événement pour se partager 1 millions de dollars à 36
Or les maigres sommes selon vous de « 50 et 100k » n'ont pas empêché ces hackers de « dévoiler [les failles qu'ils ont touvées] dans ce genre d’événement ».
@marc_os
CIBLE : Apple Safari
Je me demande la différence avec une boîte qui rachète des failles iPhone? J’ai oublié ! Satané Alzheimer…
@ marc_os
Concernant le texte, qui parle du dernier événement Pwn2Own, à Toronto, il est écrit clairement
- "Ni l'iPhone, ni l'écosystème d'Apple n'ont intéressé les hackers.."
- "Pas d'iPhone au rendez-vous donc, ni aucun logiciel ou système d'Apple."
Donc, non, Apple n'a pas été ciblée durant la semaine concernée. Même si, en effet, durant d'autres événements ce fut le cas et que des failles existent bien dans les produits Apple.
Je persiste à considérer que le titre est trompeur.
@ Avenger
C'est votre interprétation de l'article.
Si vous allez voir le site de pwn2own, il est nul part indiqué qu'Apple ne devait pas être ciblé.
https://www.zerodayinitiative.com/blog/2022/12/5/pwn2own-toronto-2022-the-schedule
Au contraire. Une récompense de 200 000 $ était promise à qui trouverait un faille chez Apple :
https://www.zerodayinitiative.com/blog/2022/8/29/announcing-pwn2own-toronto-2022-and-introducing-the-soho-smashup