Les hackers de l'entreprise française de cybersécurité Synacktiv viennent de remporter l'édition 2023 du concours de hacking Pwn2Own à Vancouver au Canada. Ils ont obtenu un total de 53 points et 530 000 dollars.
C'est la plus grosse somme jamais empochée par un même participant dans le cadre de ce célèbre concours où des hackers white hat s'affrontent. Qui plus est et grâce à six exploits couronnés de succès, les Français de Synacktiv ont remporté un peu plus de la moitié des gains.
Les exploits les plus rémunérateurs pour l'équipe de Synacktiv ont été pour une voiture Tesla Model 3… qu'ils ont en plus gagnée, comme le veut la tradition. Un accord entre l'organisateur Zero Day Initiative (Trend Micro) et Tesla qui a validé les trouvailles.
Team @Synacktiv: Eloi Benoist-Vanderbeken @elvanderb, David Berard @_p0ly_, Vincent Dehors @vdehors, Tanguy Dubroca @SidewayRE, Thomas Bouzerar @MajorTomSec, and Thomas Imbert @masthoon. They also receive a $25,000 bonus and Platinum status in 2024. pic.twitter.com/AdSv5fH4jR
— Zero Day Initiative (@thezdi) March 24, 2023
Deux piratages pour la voiture Tesla
Un premier exploit a été l'exécution d'une attaque dite TOCTTOU (time-of-check to time-of-use) sur le système Gateway de Tesla pour la gestion et le contrôle de l'énergie, et avec une compromission uniquement à partir du réseau Ethernet.
Le deuxième exploit a été l'obtention d'un accès root et la compromission du système d'infotainment (infodivertissement) de la Tesla Model 3 par le biais de la technologie Bluetooth. Un exploit pour lequel les détails semblent avoir particulièrement impressionné.
Déjà l'année dernière et pour une Tesla Model 3, les hackers de Synacktiv avaient fait parler d'eux avec l'activation des phares et des essuie-glaces, l'ouverture du coffre et du capot en exploitant via Wi-Fi des vulnérabilités dans le système d'infotainment.
Des patchs vont arriver
Avec Tesla, la catégorie automobile n'était que l'une des catégories pour le concours Pwn2Own à Vancouver. L'équipe de Synacktiv a également enregistré des succès en s'attaquant à VirtualBox d'Oracle, macOS d'Apple, Ubuntu (Desktop) et Windows 11 de Microsoft.
Les exploits 0-day sont préparés en amont de ce genre de concours et doivent être exécutés dans un court délai. Les correctifs sont ensuite publiés par les éditeurs concernés, avant la divulgation publique de détails.
Évidemment… il n'y a pas de commercialisation des vulnérabilités 0-day mises au jour.