La première journée du concours Pwn2own qui se déroule en marge de la conférence sur la sécurité CanSecWest à Vanacouver a tenu ses promesses en matière de hacking. Elle a mis à l'honneur l'équipe de hackers de la société française Vupen, spécialisée dans la recherche de vulnérabilités. Elle est parvenue à craquer à la fois Microsoft IE11 et Mozilla Firefox, ainsi que les solutions Flash et Reader d'Adobe, un record pour la compétition. L'équipe a gagné 300 000 dollars de récompense pour cet exploit.

On notera que Firefox a été craqué 3 fois en moins de 6 heures, par Vupen et par deux chercheurs (Mariusz Mlynski et Jri Aedla) qui ont chacun obtenu 50 000 dollars. Ces récompenses ont été rendues possibles par un changement des règles du concours par l'organisateur Tipping Point, la division sécurité de HP et son programme de découverte de failles ZDI (Zero Day Initiative). Habituellement, seule la première équipe a trouvé une faille était récompensée. L'organisateur a décidé de payer pour l'ensemble des vulnérabilités découvertes. En partenariat avec Google, l'édition 2014 du Pwn2own pourrait voir le niveau des récompenses dépasser le million de dollars prévus pour les 15 équipes participantes.

Une variété d'attaques et de failles


Sur la partie technique, Brian Gorenc, directeur de la recherche de vulnérabilités pour ZDI a estimé que « toutes les attaques étaient uniques à leur manière. Il est fascinant de voir les différentes façons dont les chercheurs contournent les bacs à sable et dont ils combinaient plusieurs vulnérabilités ». Le premier système craqué a été Reader d'Adobe par l'équipe de Vupen. Elle a indiqué sur Twitter « nous avons craqué Adobe Reader XI par un débordement de tas et contournement de la sandbox PDF (sans s'appuyer sur une faille du noyau). Exploit rapporté à Adobe ». Cela fut ensuite le tour d'IE11 sous Windows 8.1 de tomber avec toujours un tweet sybillin, « nous avons craqué IE sous Windows 8.1 en utilisant la méthode « Use-after-free » combinée à une confusion d'objet dans le broker pour contourner la sandbox d'IE ». La méthode « Use-after-free » est un bug dans la gestion de mémoire et le broker est le nom d'une partie de la sandbox qui agit comme un superviseur pour protéger tous les processus.

Juste avant le début du concours, les deux co-organisateurs (Google et HP Tipping Point) ont lancé une nouvelle compétition baptisée Pwn4Fun et dotée de 82 500 dollars de dons à la Croix Rouge canadienne. Une équipe de Google a ainsi craqué le navigateur Safari d'Apple, alors qu'une équipe de ZDI a démontré 6 failles trouvées dans Internet Explorer.