La prochaine conférence de sécurité CanSecWest se déroulera du 6 au 8 mars 2013 à Vancouver au Canada. Ce sera également l'occasion d'une nouvelle session pour le concours de hacking Pwn2Own organisé sous l'égide de DVLabs Zero Day Initiative ( HP ).
Depuis l'année dernière, le concours a laissé tombé les smartphones pour ne se concentrer que sur les navigateurs sur des ordinateurs portables à jour. Seront ainsi mis à l'épreuve IE10 sur Windows 8, IE9, Firefox et Google Chrome sur Windows 7, ainsi que Safari sur OS X Lion.
Les participants devront exploiter des vulnérabilités non connues afin de mener une attaque visant à prendre le contrôle de la machine. Si une protection de type sandbox est présente, une évasion complète de la sandbox sera nécessaire pour l'emporter.
À la clé, la machine à remporter et quelques billets verts comme par exemple 100 000 $ pour IE10 sur Windows 8 ou Google Chrome sur Windows 7.
En 2012, Google avait organisé un concours dissident en raison d'un désaccord avec les règles de la compétition qui violaient sa politique de divulgation responsable des vulnérabilités. Pour 2013, Google est à nouveau un sponsor du Pwn2Own. Pour un exploit victorieux, le participant devra lever le voile sur tous les détails de l'attaque qui seront fournis à HP. Les éditeurs concernés seront prévenus.
Mais la nouveauté pour 2013 est l'extension du concours aux plugins pour navigateur. Un choix pour mettre en avant le fait qu'ils sont de plus en plus souvent des vecteurs d'attaque, et donc l'occasion de mettre au point de nouvelles techniques d'atténuation.
Seront plus particulièrement visés les plugins Adobe Reader XI, Adobe Flash et Oracle Java utilisés dans IE9 sur Windows 7. En jeu, la somme de 70 000 $ pour les deux premiers et seulement 20 000 $ pour le plugin d'Oracle.
