Pwn2Own, qui a tenu bon ? |
————— 21 Mars 2017 à 19h10 —— 13919 vues
Pwn2Own, qui a tenu bon ? |
————— 21 Mars 2017 à 19h10 —— 13919 vues
Comme chaque année se passe le concours du Pwn2Own. Pour rappel, ce concours a pour but de trouver des failles de type 0days (qui n'ont encore jamais été découvertes) par de super gredins de hackers et ainsi améliorer la sécurité de nos logiciels, ces failles étant ensuite communiquées aux éditeurs concernés. Les hackers sont motivés à participer à ce concours via un petit retour pécuniaire en fonction des failles de sécurité découvertes. Cette année plus d'un million de dollars pouvaient être gagnés pour cette 10e édition !
Pour la Pwn2Own 2017, les vedettes avaient 30 essais pour faire péter les boulons à nos logiciels. Voici les équipes qui se sont attelées à la tâche dans un classement par points en fonction de leurs résultats.
Équipes | Points |
---|---|
360 Security | 63 |
Tencent Security - Team Sniper (Keen Lab et PC Mgr) |
60 |
Chaitin Security Research Lab | 26 |
Richard Zhu (fluorescence) | 14 |
Tencent Security - Team Lance | 13 |
Tencent Security - Team Ether | 10 |
Samuel Groß et Niklas Baumstark | 9 |
En plus de l'argent, un système de points était donné en fonction des failles trouvées et à ce petit jeu-là, c'est l'équipe 360 Security qui est la meilleure, talonnée de près par Tencent Security. 833 000 $ ont été donnés pour 51 failles découvertes, ce qui est quand même pas mal et montre à quel point on a encore du progrès à faire dans la sécurité.
Retenons les gros exploits des équipes 360 Security et Tencent Security - Team Sniper qui se sont autorisés via un lien à corrompre Edge, puis gagner les droits administrateurs sur Windows pour ensuite s’échapper de la machine virtuelle dans laquelle ils étaient et ce en 90 s pour la première équipe et sans VMware tools installés pour la seconde !
Les logiciels suivants se sont fait corrompre pour de multiples raisons :
Pour ceux qui demanderaient, Chrome n’est pas cité dans les logiciels hackés, car une seule tentative a été faite avec celui-ci et elle n’a pas fonctionné. Rendez-vous l’année prochaine pour voir si les participants auront autant de chance ! (Brève écrite par Cristallix, modérateur de l'extrême et rédacteur à ses heures)