Le 16 et 17 mars se déroulera l'édition 2016 du Pwn2Own au Canada. Une semaine après aura lieu à Singapour un autre concours de hacking baptisé Pwn0rama. Organisé par COSEINC en marge de la conférence de sécurité SyScan360, il se focalisera sur les exploits mobiles avec plusieurs cibles de choix.
Le plus gros poisson est l'iPhone 6s d'Apple - avec la version d'iOS la plus à jour et dans sa configuration par défaut - dont le hack sera généreusement récompensé avec une prime de 100 000 dollars. Cette somme ira dans la poche du hacker capable d'exploiter une vulnérabilité 0-day dans iOS au niveau du noyau, après s'être dépatouillé avec les protections du navigateur Safari via lequel sera chargé l'exploit.
Une même somme de 100 000 dollars est aussi promise au concurrent qui pourra compromettre un smartphone pris pour cible avec quasiment aucune interaction de la part de l'utilisateur. Par exemple, avec une attaque distante par SMS ou MMS.
Ce concours est régi par une politique de non-divulgation publique des exploits dans les 8 mois qui suivront son déroulement. Les vainqueurs recevront en outre six versements mensuels égaux. Cette mesure a été prise afin d'éviter que les hackers ne vendent les mêmes exploits à d'autres après avoir perçu l'argent.
Accessoirement, on peut se demander si le Pwn0rama n'accouchera pas d'un jailbreak à distance d'iOS. On se souviendra que Zerodium a offert une somme d'une ampleur autrement plus importante pour cela. Un million de dollars pour un exploit qui ne sera probablement jamais communiqué à Apple mais vendu aux clients de Zerodium comme par exemple des agences gouvernementales.
