Pwn2Own 2019 : une Tesla comme cible et cadeau de la prochaine grande chasse aux failles de sécurité
La voiture est un ordinateur comme les autres suggèrent les organisateurs de la prochaine conférence CanSecWest. Ils ont prévu une Tesla à côté des logiciels de Microsoft, Google, Apple, Mozilla, Adobe, VMware et Oracle, cibles habituelles de ce rendez-vous de hackers et de spécialistes en sécurité.
CanSecWest, qui se déroulera du 20 au 22 mars à Vancouver, proposera son traditionnel concours Pwn2Own. Des bidouilleurs habiles doivent arriver avec, en leur possession, une méthode pour déjouer les protections conçues par les éditeurs, de manière à exécuter un petit logiciel de leur fabrication qui témoigne de leur réussite.
Les cibles sont des ordinateurs avec les dernières versions en date de leurs systèmes d'exploitation et logiciels. Les candidats ont droit à 3 essais de 5 minutes chacun maximum.
À la clef, outre la satisfaction d'avoir pénétré à l'intérieur d'une forteresse supposée inviolable, les meilleurs peuvent repartir avec un joli pactole de plusieurs dizaines sinon centaines de milliers de dollars… voire une Tesla Model 3 flambant neuve pour ce premier rendez-vous de 2019.
Cette année est l'occasion d'inaugurer une catégorie "automobile". Huit défis sont proposés autour de cette voiture électrique. Les hackers devront obliger l'un ou l'autre de ses dispositifs de communication (modem, tuner, Wi-Fi, Bluetooth, système de divertissement, autopilot…) à se connecter à une borne afin d'exécuter en retour un bout de code qui serait supposé malveillant.
Ils pourront aussi essayer de déverrouiller de force les portes de la Model 3 ou trouver une vulnérabilité pour la démarrer. Les récompenses prévues vont de 35 000 $ à 250 000 $.
Deux bonus supplémentaires de 50 000 et 100 000 $ sont en jeu. Le premier sera gagné si des faiblesses continuent d'être exploitables après un reboot du logiciel du véhicule. Le second, c'est s'il y a moyen de prendre le contrôle du bus de données CAN de la voiture, à savoir son système de communication général. Le premier à remporter une manche dans ces deux derniers challenges repartira avec son chèque ainsi qu'une Model 3 (version sans option, estimée à 36 000 $).
Ce n'est pas la première fois que Tesla met l'un de ses véhicules à l'épreuve des hackers. Le constructeur anime déjà un programme de récompenses en cas de découverte d'une faille avec des montants allant de 100 $ à 15 000 $. 324 défauts ont été reconnus à ce jour avec un montant moyen de récompense de 500 $.
Les autres catégories de ce Pwn2Own sont désormais classiques. Il s'agira d'éprouver la solidité des défenses des principaux navigateurs du marché, de logiciels de virtualisation, ou d'Office, Outlook ou encore d'Adobe Reader. Il n'y a aucun défi qui ne rapporte moins de 30 000 $.
La dernière édition de CanSecWest s'est tenue au Japon en novembre, la meilleure équipe durant les deux journées de la compétition Pwn2Own Tokyo était composée d'Amat Cama et de Richard Zhu. Ils se sont partagés 215 000 $ (188 000 €) après avoir contourné des barrières de sécurités sur des iPhone X, Xiaomi Mi6 et Galaxy S9.
Je peux pas j’ai muscu
Pirater une Tesla pour gagner une Tesla.
C’est comme Vidéo Gag qui te fait gagner un caméscope pour la vidéo que tu as filmé avec ton caméscope.
@FloMo
C’est en plus de la somme d’argent...
@FloMo
Mais n’importe quoi ?♂️
D'autant plus que si tu sais pirater une Tesla, tu peux partir avec, alors autant aller directement se servir dans la rue, pas besoin d'aller à Vancouver. Et au moins tu peux choisir le modèle.
Après tout, c'est une forme quelque informelle et détournée d'autopartage, non ?
Bientôt partout autour de nous, le monde ne sera plus que gigantesques failles dans tous nos objets du quotidien, tous nos outils professionnels...
Nous mourrons d’une faille dans le matériel de l’hôpital à défaut d’une faille dans nos organes.
Tout ça me troue la fouille !
Mais personne n’a encore trouvé la faille qui nous permettra de sortir du cercueil ... ça me travaille la faille cette histoire ?
@Phiphi
Sois rassuré, la plus grosse faille, exploitée depuis des siècles, reste l’humain :)
@sebasto72
Savoir exploiter les failles dans l’IA (Imbécilité Accumulée) des bipèdes, c’est la base du marketing publicitaire. ?
@Phiphi
« Savoir exploiter les failles dans l’IA (Imbécilité Accumulée) des bipèdes, c’est la base du marketing publicitaire. ? »
Pas vraiment, non.
Le marketing repose précisément sur l’exploitation et le détournement de comportement d’une grande normalité, pas de failles.
Sur le plan théorique, c’est une science passionnante.
@Bigdidou
Disons que l’être humain dans son état normal a un comportement « normal » qui n’est pas d’une logique parfaitement rationnelle, sinon il ne mordrait pas au hameçon du marketing.
Nous sommes aussi imparfaits que les poissons qui ne voient pas la ligne.
Et quand tu dis détournement je te suis volontiers ?
@Phiphi
« sinon il ne mordrait pas au hameçon du marketing. »
Si si, justement.
Le marketing, c’est l’exploitation de ressorts comportementaux normaux très utile que le marketing détourne après les avoir étudiés, comme les drogues détourne le fonctionnement de nos circuits de la récompense.
C’est la situation que crée le marketing, ou l’exposition à celui-ci qui n’est pas « normale » et prévue par le cerveau, la réponse, elle, est « normale ».
@Bigdidou
Et bien donc notre programmation n’est pas parfaite, je maintiens, puisque ce cas n’est pas prévu, et que le hacker marketing arrive à s’en servir contre nous.
Sur le fond nous sommes d’accord toutefois sur le fonctionnement de la chose, c’est comme ça que ça marche dans notre circuit, et on s’en sert à notre détriment.
Hélas si le bipède qui en a les moyens ne cherchait pas, sauf exceptions, à enc. à sec les autres pour son profit, ça se saurait !
@Bigdidou
C’est un peu comme si tu disait qu’un cas n’ayant pas été prévu il est normal que le programme réagisse comme cela pour telle et telle raison alors que je dis qu’un programme parfait aurait prévu ce cas.
@Phiphi
« C’est un peu comme si tu disait qu’un cas n’ayant pas été prévu il est normal que le programme réagisse comme cela pour telle et telle raison alors que je dis qu’un programme parfait aurait prévu ce cas. »
Eh, non, ça n’est pas comme si, parce que l’analogie avec un programme qu,est fait pour faire une tache précise dans un environnement contrôlé est fausse.
Nous avons au cours de l’évolution développé des comportements et des systèmes neurologiques qui assurent notre adaptation, notre survie individuelle et celle de l’espèce. Ce soit des choix technologiques avec des bénéfices et des inconvénients, longuement sélectionnés selon Darwin.
A partir du moment où un comportement est là pour assurer notre adaptation, il peut être utilisé ou détourné, si tu veux, par exemple en créant un environnement « factice ».
Ce n’est plus le comportement qui vient à la rencontre de l’environnement, mais l’environnement (technologique ou autre) qui vient à la rencontre du comportement.
Comme dirait l’autre, c’est pas un but, c’est une fonction.
Si tu veux une analogie, on peut utiliser certaines illusion d’optique.
Nous somme programmés pour voir des visages et les reconnaître rapidement : cela facilite notre adaptation, notre survie et notre reproduction.
Du coup, nous avons tendance à voir des visages là où il n’y en a pas, par exemple dans une image aléatoire ou dans les nuages.
Pour ne plus voir d’image dans les nuages, il faudrait supprimer ou alourdir (et donc ralentir) la fonction de reconnaissance rapide.
@Bigdidou
Bien bien je me rends ? au départ je rebondissais sur la remarque de sebasto72 qui considère l’humain faillible.
C’est très instructif en tout cas je te remercie ? et je reformule :
Savoir exploiter la force de l’IA (Intelligence Adaptative) des bipèdes à leur détriment, c’est la base du marketing publicitaire. ?
Il n’en reste pas moins que quelques uns en font leur beurre pendant que la majorité tombe dans le piège.
Pour ce qui est des tâches précises dans un environnement contrôlé on n’en est plus du tout à ce niveau quand on aborde l’IA, et pourtant ça reste des programmes à la base. Qu’on continue à appeler faille ce qui permets de les prendre en défaut est sûrement un vaste débat. Je reste convaincu que nous avons plus un différent de vocabulaire qu’autre chose, mais je te reconnais une connaissance que je n’ai pas.
Quand à la survie de l’espèce c’est un autre débat. Mais comme « qui vivra verra » et que nous ne vivrons pas, nous ne saurons jamais s’il fallait continuer à nous marcher les uns sur les autres pour accumuler des zéros qui ne veulent plus rien dire sur des comptes bancaires en espérant que la technique sauve la planète ou refonder nos sociétés et nos modes de vie.
@Phiphi
;)
J’ai du mal à comprendre comment les gars vont pouvoir piraté un tesla qu’il est quasi impossible d’acheter. Ils font comment ? Ils vont tous aux usa pendant 15 jours et ils testent sur celles qui passent dans la rue ?
@Nesus
Des Tesla y en a a tous les coins de rue sur la cote Ouest. Sur la cote Est on en trouve moins en proportion mais c’est pas rare. Meme dans le desert (Vegas), on en trouve aussi. Faut quand meme habiter a l’etranger pour passer a cote.
@Paquito06
Et comme la plus part des participants ne sont pas américains,...
je vous laisse compléter la phrase ;-)
@Nesus
“Et comme la plus part des participants ne sont pas américains,...
je vous laisse compléter la phrase ;-)”
Je ne pense pas que les hackers aient attendu d’avoir un revendeur au coin de la rue que ce soit en France, en Allemagne ou en Russie pour avoir commencé à s’attaquer aux logiciels Tesla, deja parce que c’est logiciel, d’autre part car si on participe a ce genre d’event, on ne vient pas a poil. Mais je comprends votre point de vue, le model 3 etant plus repandu aux US il y a une plus importante propension a avoir un Ricain vainqueur de ce challenge car ils ont un acces plus facile/moins onereux au vehicule.
Comment vous prononcez ? Piwin to own ? Pwin to own ? Pouhèn to own ?
Je ne pige pas les jeux de mots.
@povpom
"Paounne tout aounne" ?
@Link1993
Plutôt pôle tout ône selon moi, ou légèrement entre les deux ?
@Phiphi
En partant du principe que ce n'est pas "pôle" mais "pône" mais que le correcteur d'orthographe a fait des siennes, je dirais que... bah... y'a quand même un son avant le ô...
Ou après....
Finalement, dirais bien quelque chose comme :
"Pôounne tout ôounne" ^^
Je serais limite tenter par retirer l'accent circonflexe ! ?
@Link1993
Ah oui le correcteur merci. C’est ton A qui n’est pas prononcé du tout en anglais selon moi. Mais en américain je ne sais pas. Pour mois il n’y a qu’un son un peu long. Exactement comme dans prawn qui sonne entre prôône et proone. Je suis d’accord pour l’accent circonflexe c’est limite.
Bon sans le son ce n’est pas simple.
@Phiphi
À cet endroit, il y a bien 2 sons ^^
Mais ça commence par un son se situant entre le À et le O, pour finir par un truc se rapprochant d'un son ou ^^
@Link1993
En américain peut-être mais pas en anglais selon mon expérience.
Après nous n’avons déjà pas forcément le même accent en français comme point de repère alors ...
@Phiphi
Je te confirme que tu l'as aussi en anglais British, mais moins perceptible ^^
Mais y'a tellement d'accent, américain comme British, que finalement, il est fort probable qu'il en existe un ou on ne le fait pas ! ^^
Ah, j'avoue que pour l'accent français, c'est vrai ça ! X)
@povpom
Je comprends empaumer pour posséder littéralement.
Soit attrapez le et il est à vous en pratique.
@Phiphi
Ah bah voila. Je ne connaissais pas « to pown ». Maintenant ça va mieux. Je peux faire dodo.
@povpom
Et bien en fait j’avais compris sans comprendre.
Je croyais que to pawn = prendre en main, en fait to pawn =mettre en gage et to pwn = conquérir ou faire tomber en trichant. Et on ne devrait pas écrire to pown car l’origine de ce pot d’argot est une faute de frappe sur un forum informatique.
Tout ça se prononce à l’identique a priori.
@Phiphi
Ce ne serait le contraire ?
=> wiki « Pwn is a leetspeak slang term derived from the verb own, meaning to appropriate or to conquer to gain ownership »
https://en.m.wikipedia.org/wiki/Pwn