La razzia est impressionnante ! Les chercheurs en sécurité informatique de Synacktiv ont survolé la dernière édition du concours de hacking Pwn2Own Vancouver en remportant plus de la moitié de la cagnotte financière mise en jeu, soit un peu plus d’un million de dollars. Avec 53 points, les hackers de ce spécialiste français des tests d’intrusion sont en effet repartis de la côte ouest canadienne avec un total de 530 000 dollars et une Tesla Model 3.
That’s a wrap for #P2OVancouver! Contestants disclosed 27 unique 0-days and won a combined $1,035,000 (and a car)! Congratulations to the Masters of Pwn, @Synacktiv, for their huge success and hard work! They earned 53 points, $530,000, and a Tesla Model 3. #Pwn2Own pic.twitter.com/xtd0cdjGC3
— Zero Day Initiative (@thezdi) March 24, 2023
Selon la newsletter spécialisée Risky Business, il s’agit du plus gros chèque remporté par un compétiteur à ce concours lancé en 2005. Organisée par la Zero Day Initiative, une organisation soutenue par l’éditeur de cybersécurité Trend Micro, cette compétition vise à mettre au jour de manière éthique des vulnérabilités logicielles jusqu’ici non connues, les fameuses failles zero-day.
publicité
Des attaques réussies contre des Tesla
La majeure partie des points remportés par Synacktiv sont relatifs à des failles découvertes dans des voitures Tesla, l’un des terrains de jeu récurrent de l’entreprise. L’an dernier, elle avait déjà réussi à ouvrir le coffre, allumer les phares et activer les essuie-glaces en passant par le système d’infodivertissement d’une Tesla Model 3.
Malgré les correctifs apportés par le constructeur automobile, les chercheurs de Synacktiv ont trouvé à nouveau une faille dans ce logiciel. On ignore pour le moment les détails précis de leur manœuvre, une façon de laisser le temps à l’entreprise d’Elon Musk de patcher son produit. On sait cependant que les hackers éthiques ont notamment utilisé la technique par dépassement de tas (Buffer ou heap overflow), ces saturations de la mémoire tampon qui permettent l’exécution de code malveillant.
Auparavant, ils avaient déjà réussi à exécuter une attaque "time-of-check to time-of-use" (Toctou), toujours contre une Tesla, une méthode qui peut permettre l’exécution d’actions non valides. Les chercheurs en sécurité informatique ont enfin trouvé des failles relatives aux systèmes d’exploitation Windows 11, macOs et Ubuntu Desktop, et enfin au logiciel de virtualisation Oracle VirtualBox.
