Comme chaque année, le concours de hacking Pwn2Own vient de se dérouler en marge de la conférence de sécurité CanSecWest au Canada. Avec pour munitions des exploits qu'ils ont préparés parfois longtemps à l'avance, des hackers doivent pénétrer des ordinateurs équipés des versions les plus à jour des logiciels et installées dans leur configuration par défaut. Leurs efforts se concentrent sur les navigateurs Web.
Dans la ligne de mire, Google Chrome (64 bits), Internet Explorer 11 (64 bits et avec l'outil de protection EMET ; Enhanced Mitigation Experience Toolkit), Firefox, Adobe Reader et Flash Player (64 bits) dans IE11 et tournant sur une configuration Windows 8.1 en 64 bits. Sous OS X Yosemite, la cible était Safari.
À l'issue des deux jours de compétition, rien n'a résisté même si une tentative a été annulée au dernier moment et une autre a avorté. Les diverses protections et autres techniques de sandboxing n'ont pas empêché les hackers de parvenir à leurs fins (une exécution de code arbitraire). Ils vont se partager la somme de 557 500 $ pour ce concours sous l'égide de Zero Day Initiative de HP et avec également pour sponsor le Project Zero de Google.
La session la plus rémunératrice a été pour JungHoon Lee alias lokihardt (Corée du Sud). Pour la compromission de Google Chrome (version et aussi bêta en bonus), il empoche 110 000 $. Ce jeune hacker a tiré parti d'un dépassement de tampon dans Chrome ainsi que de deux bugs dans les pilotes du noyau Windows pour obtenir un accès système.
La participation de JungHoon Lee au deuxième jour du Pwn2Own a été fructueuse puisqu'il a également empoché 65 000 $ et 50 000 $ en faisant tomber IE11 et Safari. Pour lui seul, ce sera donc 225 000 $ (plus de 210 000 €). Cela valait le coup...
À attendre pour ces prochains jours et semaines plusieurs mises à jour de sécurité de la part de Microsoft, Google, Apple et Adobe.
