Hacking : les premières victimes du Pwn2Own et Pwnium (Fx, IE11, Flash, Reader, Chrome OS)

Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Actualités Hacking : les premières victimes du Pwn2Own et Pwnium (Fx, IE11, Flash, Reader, Chrome OS)

Publié le 13 mars 2014 à 17:30 par Jérôme G.

Lire sur mobile

Au premier jour du concours de hacking Pwn2Own, Internet Explorer, Firefox, Flash Player et Adobe Reader sont tombés. Google s'est amusé à malmener Safari sur OS X 10.9. Pour le concours Pwnium, un exploit a été validé pour Chrome OS.

En marge de la conférence de sécurité CanSecWest au Canada, le concours de hacking Pwn2Own se déroulant sur deux jours à verser ses premières récompenses. Un total de 400 000 $ ce qui constitue un record pour un premier jour de compétition. Il faut aussi dire que les règles ont été modifiées par rapport aux années précédentes où seul le premier hacker à compromettre une cible était récompensé.

Rappelons que ce concours de hacking met au défi des chercheurs en sécurité de faire la démonstration de vulnérabilités 0-day dans des produits populaires. Pour cette nouvelle édition, les cibles sont les navigateurs Web (IE11, Chrome, Firefox, Safari), plugins (Flash Player, Adobe Reader, Java).

Un Grand Prix de 150 000 $ a également été mis en jeu pour une exécution de code au niveau système avec Windows 8.1 et IE11 sous la protection de l'outil de sécurité EMET de Microsoft. Néanmoins, il n'y a aucun participant inscrit pour ce Grand Prix.

Toutes les machines prises pour cible doivent être équipées des versions les plus à jour des logiciels, que ce soit Windows 8.1 ou OS X Mavericks (pour Safari), et installées dans leur configuration par défaut. Un intérêt du concours est que les failles exploitées sont communiquées aux éditeurs concernés pour une correction.

Mercredi, Firefox a été compromis à trois reprises et via des vulnérabilités différentes à chaque fois. Pour chaque exploit, la somme de 50 000 $ a été versée. Les autres victimes ont été IE11, Flash Player et Adobe Reader. Elles sont toutes l'œuvre de l'équipe de Vupen (en plus d'un hack pour Firefox).

Cette société de sécurité basée à Montpellier, et à la réputation sulfureuse, a touché le gros lot avec 300 000 dollars. Et elle est encore en lice pour le deuxième jour du concours avec pour cible désignée Google Chrome !

Quelques menus détails sont donnés sur le site officiel du Pwn2Own. Interrogé par Computerworld, un responsable de Zero Day Initiative de HP qui sponsorise le concours, s'est dit " fasciné " de voir les différents moyens utilisés par les chercheurs en sécurité afin de prendre à défaut les protections sandbox et combiner plusieurs vulnérabilités.

Les équipes (et aussi sponsors) de ZDI et Google se sont directement confrontées lors de ce qui a été baptisé Pwn4Fun. Un amusement qui a abouti à un " hack multi-exploit " de IE11 et la divulgation par ZDI de six vulnérabilités affectant Internet Explorer. De son côté, Google a hacké Safari.

" Google a fourni un exploit très impressionnant contre Safari en lançant la calculatrice en tant que root sur OS X ", écrit une employée de HP Security Research. À noter que les 82 500 $ du Pwn4Fun ont été reversés à la Croix-Rouge canadienne.

Comme l'avait annoncé Google en début d'année, une nouvelle édition de son propre concours de hacking Pwnium n'a pas été oubliée. Sur un Chromebook HP 11, Chrome OS n'a pas résisté. Un chercheur en sécurité a ainsi eu droit à 150 000 $ en plus du Chromebook.