Facebook a réussi le vol d'essai de son drone Aquila qui doit fournir une connexion Internet très haut débit aux populations n'y ayant pas accès.

L'Image du jour

Facebook a réussi le vol d'essai de son drone Aquila qui doit fournir une connexion Internet très haut débit aux populations n'y ayant pas accès.

Silicon Valley 2016 : Cap sur l'innovation technologique (1e partie)

Dernier Dossier

Silicon Valley 2016 : Cap sur l'innovation technologique (1e partie)

En mars et juin dernier, nous avons passé un peu de temps à San Francisco et dans la Silicon Valley avec une dizaine de journalistes européens pour le...

Restez proche de l'actualité IT

NEWSLETTERS THEMATIQUES

Découvrez nos différentes newsletters adaptées à vos besoins d'actualités IT Pro : Mobilité, Réseaux, Stockages, ...

Abonnez-vous 
FERMER

LMI MARKET

Votre comparateur de prestataires IT : Comparez les devis, Evaluez les prestataires, Trouvez le juste prix!...

Accéder à ce service 

BLOG

Découvrez les contenus exclusifs publiés par les lecteurs du Monde Informatique avec la plateforme LMI Blog...

Accéder à ce service 

COMPARATEUR DE SALAIRE

Partagez votre situation salariale anonymement, consultez les statistiques depuis 2009 et faites vos propres analyses...

Accéder à ce service 

IT TOUR

LMI vous invite à sa Matinée-Débats dans votre région.
Inscrivez-vous

Accéder au site 
FERMER
0
Réagissez Imprimer Envoyer

Pwn2Own 2016 : Safari, Chrome et Flash Player piratés dès la 1e journée

282 500 dollars ont déjà été distribués aux hackers et 15 vulnérabilités mises à jour. (Crédit D.R.)

282 500 dollars ont déjà été distribués aux hackers et 15 vulnérabilités mises à jour. (Crédit D.R.)

Il a fallu à peine un jour aux hackers qui participent au concours du Pwn2Own 2016, organisé comme chaque année dans le cadre de la conférence sur la sécurité CanSecWest (16e édition, Vancouver, 16 au 18 mars 2016) pour pirater, parfois à deux reprises, les navigateurs Safari, Chrome et Flash Player. Ce qui leur a valu d'empocher d'ores et déjà la coquette somme de 282 500 dollars, sur la dotation globale de 600 000 dollars.

Les chercheurs en sécurité ont réussi à exploiter des vulnérabilités jusque-là inconnues dans Apple Safari, Google Chrome et Flash Player, compromettant les dernières versions de Mac OS X et de Windows dès le premier jour du concours annuel Pwn2Own 2016. Mercredi, quatre équipes et un chercheur ayant participé à titre individuel ont tenté par six fois de s’attaquer aux cibles fixées par le concours cette année : il s’agissait pour eux de pirater la dernière version de Safari pour OS X, la dernière version de Chrome pour Windows, Microsoft Edge pour Windows et Flash Player pour Windows. Quatre de leurs tentatives ont été réussies, une était partiellement réussie et une a échoué.

La 360Vulcan Team de l’entreprise de sécurité Internet chinoise, Qihoo 360, a combiné une vulnérabilité d'exécution de code à distance dans Flash Player avec une vulnérabilité dans le noyau Windows pour obtenir des privilèges système. Pour cet exploit, ils ont reçu un prix de 80 000 dollars, dont 60 000 dollars pour l’exploit Flash Player, plus un bonus de 20 000 dollars pour l'escalade au niveau du système. Plus tard dans la journée, la même équipe a montré comment réaliser une attaque par exécution de code à distance contre Google Chrome sous Windows. Les membres de l’équipe ont également réussi à obtenir des privilèges système avec leur attaque. Pour y parvenir, ils ont exploité avec succès quatre vulnérabilités : une dans Chrome, deux dans Flash et une autre dans le noyau Windows. Cependant, leur victoire a été jugée partielle, parce que la faille qu’ils ont exploitée dans Chrome avait déjà été signalée à Google par un chercheur indépendant à l'insu de l'équipe. Elle ne pouvait donc plus être considérée comme une faille zero day. L'équipe a toutefois remporté la somme de 52 500 dollars, si bien que, dès le premier jour la 360Vulcan Team a remporté 132 500 dollars.

Les hackers chinois dévoilent leur savoir-faire  

Le chercheur sud-coréen, Junghoon Lee, connu dans les cercles de hackers sous le pseudo lokihardt, a montré comment mener une attaque d'exécution de code à distance contre le navigateur Safari sous Mac OS X avec une escalade de privilèges root. Il a également combiné quatre vulnérabilités, ce qui lui valut de remporter un prix de 60 000 dollars. Cette année, les failles exploitées dans Safari sont récompensées par un prix de 40 000 dollars, contre 60 000 dollars pour Chrome et Microsoft Edge sous Windows. Un bonus de 20 000 dollars est accordé en cas d'escalade de privilège sous Windows et Mac OS X. Il est intéressant de noter que Junghoon Lee avait été le meilleur concurrent de l’édition 2015 du Pwn2Own, puisqu’il avait remporté à lui seul 225 000 dollars, soit près de la moitié de la dotation globale du concours. Il peut encore se classer en tête cette année : en effet, hier, il devait également participer au piratage de Chrome et de Microsoft Edge. Pour l’instant, l’équipe 360Vulcan est en tête, mais elle n’est inscrite à aucun autre défi.

Trois équipes du géant de l'Internet chinois Tencent, qui regroupent des ingénieurs en sécurité de plusieurs de ses filiales, participent au concours Pwn2Own de cette année. Au cours de la première journée, la Tencent Security Team Shield a montré comment mener une attaque contre Safari pour obtenir l'exécution de code au niveau root. L'exploit combinait deux vulnérabilités, l’une dans Safari et l’autre dans un processus permettant une escalade de privilège. L’équipe a remporté un prix de 40 000 dollars. Pendant ce temps, la Tencent Security Sniper Team a montré comment mener une attaque contre Flash Player sous Windows. Pour cette attaque impliquant une escalade de privilège au niveau du système, l’équipe a remporté 50 000 dollars. Enfin, la Tencent, Xuanwu Lab Team a tenté un exploit contre Adobe Flash dans Microsoft Edge, mais leur attaque n'a pas fonctionné.

15 failles déjà mises à jour 

Pendant la première journée, les chercheurs en sécurité ont gagné 282 500 dollars et mis à jour 15 vulnérabilités jusqu'alors inconnues. Les exploits ont été partagés avec les organisateurs du concours Zero Day Initiative, qui fait maintenant partie de Trend Micro, et ils seront communiqués aux vendeurs concernés. Cette année, le concours Pwn2Own est parrainé par Trend Micro et Hewlett Packard Enterprise. La dotation totale des prix s’élève à environ 600 000 dollars.

Commenter cet article

commenter cet article en tant que membre LMI

CONNEXION

Commenter cet article en tant que visiteur






* Les liens HTML sont interdits dans les commentaires

Publicité
35 ans
26 Novembre 1990 n°434
Publicité
Publicité