Évoquée le mois dernier dans nos colonnes, l'édition 2016 du concours de hacking Pwn2Own vient de prendre fin en marge de la conférence de sécurité CanSecWest au Canada. Parrainée par Hewlett Packard Enterprise (HPE) et Trend Micro, elle a permis de mettre au jour 21 nouvelles vulnérabilités de sécurité.
Pour leurs versions les plus à jour, ces failles 0-day (sans correctif) affectent les systèmes d'exploitation Windows 10 (6 vulnérabilités) et OS X El Capitan (5), les navigateurs Microsoft Edge (2), Google Chrome (1) et Safari (3), ainsi que Flash Player (4). On rappellera que Firefox ne faisait pas partie des cibles.
À l'issue des deux jours de compétition, et même si quelques tentatives de compromission ont échoué, le montant total des récompenses s'élève à 460 000 dollars. Les équipes de hackers étaient asiatiques avec trois équipes sous l'égide de Tencent, une autre formée par Qihoo 360, et le hacker sud-coréen connu sous le pseudonyme de lokihardt.
#Pwn2Own 2016 Awards: Tied for 2nd Place JungHoon Lee (lokihardt) pic.twitter.com/iE6tvrUdrd
— Zero Day Initiative (@thezdi) 17 mars 2016
C'est notamment grâce à ce même lokihardt que le jailbreak d'iOS 9.1 a récemment été rendu disponible par Pangu. De son vrai nom JungHoon Lee, il s'était déjà distingué lors de la précédente édition du Pwn2Own. Cette année, son plus bel exploit (et le plus beau du concours) a été une attaque d'exécution de code à l'encontre de Microsoft Edge dans le contexte Système.
Pour cela, Christopher Budd, Global Threat Communications Manager chez Trend Micro, explique que lokihardt a exploité un problème de traitement de variables non initialisées dans Microsoft Edge et une technique de répertoire transversal dans Windows pour obtenir un privilège Système. Le hacker quitte le Pwn2Own avec en poche 145 000 $.
L'équipe qui a marqué le plus de points est cependant la Team Sniper de Tencent Security. Toutes ses tentatives ont été victorieuses et elle repart avec 142 500 $ et le titre de " Master of Pwn ". Le total des points est calculé par la somme des succès et en fonction de la cible.
Crédit photo : HPE
La Team 360Vulcan (Qihoo 360) a marqué autant de points que lokihardt et s'en va avec 132 500 $. Pour la Team Shield de Tencent Security, ce sera 40 000 $.
Comme chaque année avec le Pwn2Own, les éditeurs concernés vont avoir du travail afin de corriger les vulnérabilités affectant leurs produits (pas de divulgation publique). Une mise à jour de Google Chrome ne devrait ainsi pas tarder.
