Pwn2Own 2019 : une Tesla comme cible et cadeau de la prochaine grande chasse aux failles de sécurité

Florian Innocente |

La voiture est un ordinateur comme les autres suggèrent les organisateurs de la prochaine conférence CanSecWest. Ils ont prévu une Tesla à côté des logiciels de Microsoft, Google, Apple, Mozilla, Adobe, VMware et Oracle, cibles habituelles de ce rendez-vous de hackers et de spécialistes en sécurité.

CanSecWest, qui se déroulera du 20 au 22 mars à Vancouver, proposera son traditionnel concours Pwn2Own. Des bidouilleurs habiles doivent arriver avec, en leur possession, une méthode pour déjouer les protections conçues par les éditeurs, de manière à exécuter un petit logiciel de leur fabrication qui témoigne de leur réussite.

Les cibles sont des ordinateurs avec les dernières versions en date de leurs systèmes d'exploitation et logiciels. Les candidats ont droit à 3 essais de 5 minutes chacun maximum.

La Tesla Model 3 va être passée au tamis des dénicheurs de failles de sécurité

À la clef, outre la satisfaction d'avoir pénétré à l'intérieur d'une forteresse supposée inviolable, les meilleurs peuvent repartir avec un joli pactole de plusieurs dizaines sinon centaines de milliers de dollars… voire une Tesla Model 3 flambant neuve pour ce premier rendez-vous de 2019.

Cette année est l'occasion d'inaugurer une catégorie "automobile". Huit défis sont proposés autour de cette voiture électrique. Les hackers devront obliger l'un ou l'autre de ses dispositifs de communication (modem, tuner, Wi-Fi, Bluetooth, système de divertissement, autopilot…) à se connecter à une borne afin d'exécuter en retour un bout de code qui serait supposé malveillant.

Ils pourront aussi essayer de déverrouiller de force les portes de la Model 3 ou trouver une vulnérabilité pour la démarrer. Les récompenses prévues vont de 35 000 $ à 250 000 $.

Les challenges pour ceux qui voudront s'attaquer à la Tesla

Deux bonus supplémentaires de 50 000 et 100 000 $ sont en jeu. Le premier sera gagné si des faiblesses continuent d'être exploitables après un reboot du logiciel du véhicule. Le second, c'est s'il y a moyen de prendre le contrôle du bus de données CAN de la voiture, à savoir son système de communication général. Le premier à remporter une manche dans ces deux derniers challenges repartira avec son chèque ainsi qu'une Model 3 (version sans option, estimée à 36 000 $).

Ce n'est pas la première fois que Tesla met l'un de ses véhicules à l'épreuve des hackers. Le constructeur anime déjà un programme de récompenses en cas de découverte d'une faille avec des montants allant de 100 $ à 15 000 $. 324 défauts ont été reconnus à ce jour avec un montant moyen de récompense de 500 $.

Les autres catégories de ce Pwn2Own sont désormais classiques. Il s'agira d'éprouver la solidité des défenses des principaux navigateurs du marché, de logiciels de virtualisation, ou d'Office, Outlook ou encore d'Adobe Reader. Il n'y a aucun défi qui ne rapporte moins de 30 000 $.

Richard Zhu et Amat Cama de l'équipe Fluoroacetate, grands vainqueurs du dernier Pwn2Own Tokyo

La dernière édition de CanSecWest s'est tenue au Japon en novembre, la meilleure équipe durant les deux journées de la compétition Pwn2Own Tokyo était composée d'Amat Cama et de Richard Zhu. Ils se sont partagés 215 000 $ (188 000 €) après avoir contourné des barrières de sécurités sur des iPhone X, Xiaomi Mi6 et Galaxy S9.

avatar anonx | 

Je peux pas j’ai muscu

avatar Florent Morin | 

Pirater une Tesla pour gagner une Tesla.
C’est comme Vidéo Gag qui te fait gagner un caméscope pour la vidéo que tu as filmé avec ton caméscope.

avatar loupsolitaire97 | 

@FloMo

C’est en plus de la somme d’argent...

avatar TrollMan06 | 

@FloMo

Mais n’importe quoi ?‍♂️

avatar Matlouf | 

D'autant plus que si tu sais pirater une Tesla, tu peux partir avec, alors autant aller directement se servir dans la rue, pas besoin d'aller à Vancouver. Et au moins tu peux choisir le modèle.

Après tout, c'est une forme quelque informelle et détournée d'autopartage, non ?

avatar Phiphi | 

Bientôt partout autour de nous, le monde ne sera plus que gigantesques failles dans tous nos objets du quotidien, tous nos outils professionnels...
Nous mourrons d’une faille dans le matériel de l’hôpital à défaut d’une faille dans nos organes.
Tout ça me troue la fouille !
Mais personne n’a encore trouvé la faille qui nous permettra de sortir du cercueil ... ça me travaille la faille cette histoire ?

avatar sebasto72 | 

@Phiphi

Sois rassuré, la plus grosse faille, exploitée depuis des siècles, reste l’humain :)

avatar Phiphi | 

@sebasto72

Savoir exploiter les failles dans l’IA (Imbécilité Accumulée) des bipèdes, c’est la base du marketing publicitaire. ?

avatar Bigdidou | 

@Phiphi

« Savoir exploiter les failles dans l’IA (Imbécilité Accumulée) des bipèdes, c’est la base du marketing publicitaire. ? »

Pas vraiment, non.
Le marketing repose précisément sur l’exploitation et le détournement de comportement d’une grande normalité, pas de failles.
Sur le plan théorique, c’est une science passionnante.

avatar Phiphi | 

@Bigdidou

Disons que l’être humain dans son état normal a un comportement « normal » qui n’est pas d’une logique parfaitement rationnelle, sinon il ne mordrait pas au hameçon du marketing.
Nous sommes aussi imparfaits que les poissons qui ne voient pas la ligne.
Et quand tu dis détournement je te suis volontiers ?

avatar Bigdidou | 

@Phiphi

« sinon il ne mordrait pas au hameçon du marketing. »

Si si, justement.
Le marketing, c’est l’exploitation de ressorts comportementaux normaux très utile que le marketing détourne après les avoir étudiés, comme les drogues détourne le fonctionnement de nos circuits de la récompense.
C’est la situation que crée le marketing, ou l’exposition à celui-ci qui n’est pas « normale » et prévue par le cerveau, la réponse, elle, est « normale ».

avatar Phiphi | 

@Bigdidou

Et bien donc notre programmation n’est pas parfaite, je maintiens, puisque ce cas n’est pas prévu, et que le hacker marketing arrive à s’en servir contre nous.
Sur le fond nous sommes d’accord toutefois sur le fonctionnement de la chose, c’est comme ça que ça marche dans notre circuit, et on s’en sert à notre détriment.
Hélas si le bipède qui en a les moyens ne cherchait pas, sauf exceptions, à enc. à sec les autres pour son profit, ça se saurait !

avatar Phiphi | 

@Bigdidou

C’est un peu comme si tu disait qu’un cas n’ayant pas été prévu il est normal que le programme réagisse comme cela pour telle et telle raison alors que je dis qu’un programme parfait aurait prévu ce cas.

avatar Bigdidou | 

@Phiphi

« C’est un peu comme si tu disait qu’un cas n’ayant pas été prévu il est normal que le programme réagisse comme cela pour telle et telle raison alors que je dis qu’un programme parfait aurait prévu ce cas. »

Eh, non, ça n’est pas comme si, parce que l’analogie avec un programme qu,est fait pour faire une tache précise dans un environnement contrôlé est fausse.

Nous avons au cours de l’évolution développé des comportements et des systèmes neurologiques qui assurent notre adaptation, notre survie individuelle et celle de l’espèce. Ce soit des choix technologiques avec des bénéfices et des inconvénients, longuement sélectionnés selon Darwin.
A partir du moment où un comportement est là pour assurer notre adaptation, il peut être utilisé ou détourné, si tu veux, par exemple en créant un environnement « factice ».
Ce n’est plus le comportement qui vient à la rencontre de l’environnement, mais l’environnement (technologique ou autre) qui vient à la rencontre du comportement.
Comme dirait l’autre, c’est pas un but, c’est une fonction.
Si tu veux une analogie, on peut utiliser certaines illusion d’optique.
Nous somme programmés pour voir des visages et les reconnaître rapidement : cela facilite notre adaptation, notre survie et notre reproduction.
Du coup, nous avons tendance à voir des visages là où il n’y en a pas, par exemple dans une image aléatoire ou dans les nuages.
Pour ne plus voir d’image dans les nuages, il faudrait supprimer ou alourdir (et donc ralentir) la fonction de reconnaissance rapide.

avatar Phiphi | 

@Bigdidou

Bien bien je me rends ? au départ je rebondissais sur la remarque de sebasto72 qui considère l’humain faillible.

C’est très instructif en tout cas je te remercie ? et je reformule :
Savoir exploiter la force de l’IA (Intelligence Adaptative) des bipèdes à leur détriment, c’est la base du marketing publicitaire. ?

Il n’en reste pas moins que quelques uns en font leur beurre pendant que la majorité tombe dans le piège.

Pour ce qui est des tâches précises dans un environnement contrôlé on n’en est plus du tout à ce niveau quand on aborde l’IA, et pourtant ça reste des programmes à la base. Qu’on continue à appeler faille ce qui permets de les prendre en défaut est sûrement un vaste débat. Je reste convaincu que nous avons plus un différent de vocabulaire qu’autre chose, mais je te reconnais une connaissance que je n’ai pas.

Quand à la survie de l’espèce c’est un autre débat. Mais comme « qui vivra verra » et que nous ne vivrons pas, nous ne saurons jamais s’il fallait continuer à nous marcher les uns sur les autres pour accumuler des zéros qui ne veulent plus rien dire sur des comptes bancaires en espérant que la technique sauve la planète ou refonder nos sociétés et nos modes de vie.

avatar pariscanal | 

@Phiphi

;)

avatar Nesus | 

J’ai du mal à comprendre comment les gars vont pouvoir piraté un tesla qu’il est quasi impossible d’acheter. Ils font comment ? Ils vont tous aux usa pendant 15 jours et ils testent sur celles qui passent dans la rue ?

avatar Paquito06 | 

@Nesus

Des Tesla y en a a tous les coins de rue sur la cote Ouest. Sur la cote Est on en trouve moins en proportion mais c’est pas rare. Meme dans le desert (Vegas), on en trouve aussi. Faut quand meme habiter a l’etranger pour passer a cote.

avatar Nesus | 

@Paquito06

Et comme la plus part des participants ne sont pas américains,...
je vous laisse compléter la phrase ;-)

avatar Paquito06 | 

@Nesus

“Et comme la plus part des participants ne sont pas américains,...
je vous laisse compléter la phrase ;-)”

Je ne pense pas que les hackers aient attendu d’avoir un revendeur au coin de la rue que ce soit en France, en Allemagne ou en Russie pour avoir commencé à s’attaquer aux logiciels Tesla, deja parce que c’est logiciel, d’autre part car si on participe a ce genre d’event, on ne vient pas a poil. Mais je comprends votre point de vue, le model 3 etant plus repandu aux US il y a une plus importante propension a avoir un Ricain vainqueur de ce challenge car ils ont un acces plus facile/moins onereux au vehicule.

avatar povpom | 

Comment vous prononcez ? Piwin to own ? Pwin to own ? Pouhèn to own ?
Je ne pige pas les jeux de mots.

avatar Link1993 | 

@povpom

"Paounne tout aounne" ?

avatar Phiphi | 

@Link1993

Plutôt pôle tout ône selon moi, ou légèrement entre les deux ?

avatar Link1993 | 

@Phiphi

En partant du principe que ce n'est pas "pôle" mais "pône" mais que le correcteur d'orthographe a fait des siennes, je dirais que... bah... y'a quand même un son avant le ô...
Ou après....

Finalement, dirais bien quelque chose comme :

"Pôounne tout ôounne" ^^

Je serais limite tenter par retirer l'accent circonflexe ! ?

avatar Phiphi | 

@Link1993

Ah oui le correcteur merci. C’est ton A qui n’est pas prononcé du tout en anglais selon moi. Mais en américain je ne sais pas. Pour mois il n’y a qu’un son un peu long. Exactement comme dans prawn qui sonne entre prôône et proone. Je suis d’accord pour l’accent circonflexe c’est limite.
Bon sans le son ce n’est pas simple.

avatar Link1993 | 

@Phiphi

À cet endroit, il y a bien 2 sons ^^
Mais ça commence par un son se situant entre le À et le O, pour finir par un truc se rapprochant d'un son ou ^^

avatar Phiphi | 

@Link1993

En américain peut-être mais pas en anglais selon mon expérience.
Après nous n’avons déjà pas forcément le même accent en français comme point de repère alors ...

avatar Link1993 | 

@Phiphi

Je te confirme que tu l'as aussi en anglais British, mais moins perceptible ^^

Mais y'a tellement d'accent, américain comme British, que finalement, il est fort probable qu'il en existe un ou on ne le fait pas ! ^^

Ah, j'avoue que pour l'accent français, c'est vrai ça ! X)

avatar Phiphi | 

@povpom

Je comprends empaumer pour posséder littéralement.
Soit attrapez le et il est à vous en pratique.

avatar povpom | 

@Phiphi

Ah bah voila. Je ne connaissais pas « to pown ». Maintenant ça va mieux. Je peux faire dodo.

avatar Phiphi | 

@povpom

Et bien en fait j’avais compris sans comprendre.
Je croyais que to pawn = prendre en main, en fait to pawn =mettre en gage et to pwn = conquérir ou faire tomber en trichant. Et on ne devrait pas écrire to pown car l’origine de ce pot d’argot est une faute de frappe sur un forum informatique.
Tout ça se prononce à l’identique a priori.

avatar povpom | 

@Phiphi

Ce ne serait le contraire ?
=> wiki « Pwn is a leetspeak slang term derived from the verb own, meaning to appropriate or to conquer to gain ownership »
https://en.m.wikipedia.org/wiki/Pwn

CONNEXION UTILISATEUR