Posté le mars 23, 2023 à 4:50
DES HACKERS ZERO DAY PIRATENT DES GÉANTS DE LA TECHNOLOGIE DANS LE CADRE D’UN CONCOURS DE PIRATAGE D’UNE VALEUR D’UN MILLION DE DOLLARS
Les géants de la technologie ne sont pas à l’abri des attaques de piratage qui peuvent causer des dégâts considérables aux utilisateurs qui dépendent de ces entreprises. Certains des hackers les plus en vue pourraient cibler ces entreprises, qui ont généralement la réputation d’avoir des contrôles de sécurité robustes. Toutefois, selon le concours de piratage Pwn2Own Vancouver 2023, ces entreprises ne sont pas à l’abri des attaques de piratage.
Les géants de la technologie sont vulnérables à aux exploits zero day
Le concours de piratage informatique Pwn2Own a débuté hier et des développements passionnants ont déjà été rapportés. Au premier jour de la compétition, des géants technologiques ont été exposés comme étant vulnérables à des hackers de haut niveau.
Dès le début de la compétition, certaines des plus grandes entreprises technologiques ont déjà été victimes d’exploits de sécurité de type « zero day » parmi les plus sophistiqués. Les géants de la technologie en question sont Apple, Ubuntu, Adobe Reader, Microsoft SharePoint, Microsoft Windows 11, Apple macOS et Oracle VirtualBox.
Le concours de piratage Pwn2Own Vancouver 2023 se déroulera jusqu’au 24 mars. Il vise à récompenser les meilleurs hackers d’élite et à exposer les failles de sécurité que les mauvais acteurs de la menace pourraient exploiter.
Cette compétition attire les meilleurs hackers du monde entier, et les gagnants repartent avec plus d’un million de dollars. Le premier jour, 375 000 dollars ont été attribués aux hackers qui ont participé à l’événement. Les autres jours, Microsoft Teams et VMWare Workstation seront testés, et de graves faiblesses de sécurité pourraient être découvertes.
L’événement mondial de piratage informatique Pw2Own est organisé par Trend Micro Zero-Day Initiative (ZDI). Cet événement existe depuis 2005. L’événement attire la participation de certaines des meilleures équipes de hackers au niveau mondial. Les hackers s’affrontent entre eux et contre des cibles technologiques prédéterminées en utilisant des exploits « zero day » qui n’ont pas encore été identifiés.
La compétition de piratage est intense car elle inclut un délai pour qu’un hacker réalise un exploit de piratage. Les hackers chasseurs de primes et les professionnels de la cybersécurité disposent d’un temps limité dans lequel ils doivent s’introduire dans la cible en question en exploitant un bug zero day.
Le succès d’un hacker dans cet événement est récompensé progressivement. Les hackers qui réussissent sont récompensés par des points ajoutés plus tard au classement des Masters of Pwn. En outre, la nature de cette compétition ne doit pas être sous-estimée car elle attire certains des meilleurs hackers au niveau mondial. Ces hackers reçoivent de belles rémunérations pour leur participation et leur exploitation réussie.
Compte tenu de la nature de cette compétition et des géants technologiques de renom qui participent à l’événement, la récompense est attribuée aux hackers qui ont prouvé que leurs compétences étaient supérieures à celles des autres participants.
Le concours de piratage informatique profite aux géants de la technologie
Les attaques informatiques peuvent généralement causer des dommages importants aux particuliers et aux entreprises. Compte tenu de la nature sensible des entreprises technologiques, la plupart d’entre elles choisissent de participer à ces concours pour s’assurer qu’elles restent proactives.
Chaque vulnérabilité exploitée par le hacker participant au concours est transmise au fournisseur afin qu’il puisse y apporter un correctif. Un correctif sera publié pour la vulnérabilité avant qu’elle ne soit divulguée au public.
Le bug ne sera pas divulgué au public tant qu’un correctif ne sera pas publié afin de s’assurer que les acteurs malveillants ne l’exploitent pas. ZDI, l’organisateur de l’événement, ne vend ni ne redistribue aucun des exploits zero day. La nature de ce concours montre qu’en plus de permettre aux hackers de prouver leurs compétences, il permet également aux entreprises technologiques de corriger tout problème important qui leur porterait préjudice.
L’une des équipes ayant participé à cette compétition est connue sous le nom de Synacktiv. Ces hackers ont ouvert une brèche dans le noyau macOS d’Apple à l’aide d’une attaque par élévation de privilèges et de la passerelle Tesla. L’équipe a utilisé une attaque TOCTOU (time-of-check-to-time-of-use) pour réaliser les exploits. Ces hackers ont remporté 140 000 dollars et une Tesla Model 3.
L’autre équipe qui a également réalisé un exploit réussi est STAR Labs. L’équipe a réalisé un exploit en chaîne contre Microsoft SharePoint. Elle a aussi utilisé un exploit déjà connu pour cibler le bureau Ubuntu. L’équipe a remporté 115 000 dollars.
Adobe Reader a aussi été exploité par AbdulAziz Hariri de Haboob SA. Le hacker s’est introduit dans Adobe Reader en utilisant une chaîne de six vulnérabilités qui lui a permis de s’échapper de la Sandbox d’Adobe. Ce hacker a gagné 50 000 dollars. Bien Pham de Qrious Security a également réalisé un exploit réussi contre Oracle VirtualBox et a gagné 40 000 dollars. Marcin Wiazowski a aussi mené des attaques à privilèges multiples ciblant Windows 11. Cet exploit lui a permis de remporter 30 000 dollars.
