Maintes fois relayé dans nos colonnes au fil des ans, le concours de hacking Pwn2Own se déroule en marge de la conférence de sécurité CanSecWest au Canada. Des chercheurs en sécurité informatique - ou hackers - tentent de pénétrer des ordinateurs équipés des versions les plus à jour de logiciels et dans leur configuration par défaut. Les exploits se concentrent essentiellement sur les navigateurs Web avec de grosses récompenses à la clé.

Pwn2Own-GeoHot Pour l'édition 2016, qui se déroulera le mois prochain, les participants se mesureront à Microsoft Edge ou Google Chrome sur Windows 10 en 64 bits, Adobe Flash exécuté dans Microsoft Edge, ainsi que Safari tournant sur un Mac équipé de OS X El Capitan. Respectivement, les primes en jeu sont de 65 000 $, 60 000 $ et 40 000 $.

Si un exploit permet une exécution de code au niveau système ou root, le hacker perçoit la somme supplémentaire de 20 000 $. Pour Windows 10, la difficulté d'exploitation incarnée par la présence de l'outil EMET est prise en compte. Dans l'absolu, Microsoft assure que Enhanced Mitigation Experience Toolkit n'est plus nécessaire à Windows 10 même s'il est compatible avec celui-ci.

L'édition 2016 du Pwn2Own est marquée par une nouveauté avec un prix de 75 000 $ en rapport avec une attaque victorieuse visant la machine virtuelle VMware Workstation sur laquelle tourneront des navigateurs pour Windows. Une machine virtuelle isole les applications exécutées et ne permet pas à des processus de s'échapper, ce que devront pourtant réussir les participants avec leur code.

Un autre fait marquant est une absence dans les cibles… celle du navigateur Firefox. À eWeek, Brian Gorenc, responsable Vulnerability Research chez Hewlett Packard Enterprise (HPE ; un sponsor du Pwn2Own), explique que le choix a été fait de se focaliser sur les navigateurs ayant bénéficié " d'importantes améliorations de sécurité au cours de l'année dernière. "

Ouch… voilà qui paraît bien rude pour le navigateur de Mozilla et sous-entend qu'une attaque contre Firefox est devenue trop facile pour des hackers de la trempe de ceux qui relèvent le défi du Pwn2Own. La critique sous-jacente est à rapprocher avec le retard pris par le projet e10s pour une architecture multi-processus qui fait toujours défaut dans une version stable de Firefox. Elle va en effet permettre une protection de type sandbox (bac à sable ) pour Firefox.

Le Pwn2Own est rattaché à l'initiative ZDI de HP en tant que division de TippingPoint. Cette dernière a été acquise par Trend Micro en octobre 2015 pour près de 300 millions de dollars. La période de transition faisant, l'édition 2016 du concours est conjointement parrainée par HPE et Trend Micro.

Rappelons qu'avec ce concours, les éditeurs concernés sont prévenus des vulnérabilités dans leurs produits qui ont été exploitées avec succès afin qu'ils puissent les corriger (pas de divulgation publique auparavant).