Posté le mai 21, 2022 à 20:17
LES MEILLEURS HACKERS S’AFFRONTENT POUR REMPORTER LA RÉCOMPENSE DE 600 000 DOLLARS DE TESLA LORS DE L’ÉVÉNEMENT PWN2OWN
Une compétition de piratage organisée à Vancouver, au Canada, a attiré certains des meilleurs hackers du monde. Leur objectif est de s’introduire dans des technologies hautement sécurisées, notamment la voiture Tesla, le navigateur Safari d’Apple et l’équipe Microsoft.
Bien sûr, il y a plusieurs prix à gagner pour les hackers qui réussissent. Mais le Saint Graal, c’est la prime de 600 000 dollars que recevra le hacker qui aura réussi à pirater la Tesla Model 3. Et en guise de récompense supplémentaire pour ses efforts, la personne qui aura réussi emportera la voiture piratée.
Le 15e anniversaire du concours de piratage Pwn2Own est en cours, et certains hackers ont déjà reçu des récompenses pour leurs efforts. Il s’agit d’un terrain d’essai lucratif pour les hackers blancs et les chercheurs en sécurité, qui doivent trouver des failles et informer les développeurs de leurs découvertes. En retour, les chercheurs sont récompensés généreusement pour leurs efforts.
Le concours de piratage Pwn2Own attire les meilleurs hackers au monde
Le concours a été lancé en 2007 par Dragos Ruju, chercheur en cybersécurité. À l’origine, il s’agissait de mettre au défi les chercheurs en sécurité de trouver des vulnérabilités dans les MacBook Pros. Cependant, le concours a pris de l’ampleur, avec la participation de plus de hackers et d’entreprises. Il se tient désormais plusieurs fois par an et se déroule sur plusieurs jours pour chaque événement.
Tant les hackers que les entreprises qui fabriquent les logiciels profitent de l’événement. Si les hackers y gagnent financièrement en recevant des récompenses, les entreprises peuvent corriger les failles pour se protéger des acteurs malveillants.
Le premier jour de l’événement, les hackers ont réussi à s’introduire dans Safari, Mozilla Firefox et Microsoft Teams. Le responsable de la communication de l’initiative Zero Day de Trend Micro, Dustin Childs, a déclaré qu’il s’attendait à des « collisions de bugs » ou à une seule vulnérabilité zero-day découverte par deux chercheurs. Cependant, les résultats de l’exercice ont montré jusqu’à présent que tout « était un exploit unique ».
Il a ajouté que le dernier événement était le seul concours, de mémoire d’homme, où rien n’est entré en collision et où chaque exploit a fonctionné pour la première fois. C’est également la première fois que la sécurité logicielle de la plupart des géants de la technologie a été exposée le premier jour de l’événement. À peine 24 heures après le début du concours, des chercheurs en sécurité ont réussi à s’infiltrer dans Microsoft Teams et Windows 11.
Chercheurs et entreprises bénéficient mutuellement de l’événement
M. Childs a déclaré que Pwn2Own est une occasion pour les chercheurs de trouver des exploits et de divulguer des failles et de faire reconnaître publiquement leurs efforts. Il a ajouté que l’événement joue un rôle très important dans la cybersécurité. Lorsqu’un chercheur signale une vulnérabilité à un développeur en privé, ce dernier peut fournir un correctif ou un patch pour empêcher les acteurs de menaces d’exploiter la même faille.
Bien que l’entreprise offre une certaine récompense financière au hacker, celle-ci est bien meilleure que les coûts élevés que l’entreprise devra supporter si son logiciel est exploité dans la nature.
Selon M. Childs, le concours, qui était à l’origine un petit événement axé sur les navigateurs, s’est étendu à plusieurs endroits dans le monde. Le concours a commencé par récompenser les participants ayant réussi à obtenir un prix de 1 000 dollars. L’année dernière, plus de 2 millions de dollars ont été versés en récompense aux hackers lors des différents événements.
Mercredi, le premier jour de l’événement en cours, 800 000 dollars ont été distribués dans le cadre des événements. L’événement est également devenu hybride afin d’encourager davantage de chercheurs à y participer. Cela signifie que les participants peuvent concourir virtuellement ou assister à l’événement en personne.
Le nom du concours provient de la combinaison de deux termes, « pwn » et « own ». Le premier terme est un argot utilisé pour signifier battre quelqu’un d’autre, tandis que le second terme est ajouté parce que le hacker qui réussit emporte généralement la technologie logicielle avec lui.
Les entreprises intensifient leurs efforts pour protéger leurs logiciels
Le concours de piratage Pwn2Own n’est pas le seul moyen pour les chercheurs en sécurité d’obtenir une récompense financière pour leurs efforts. Plusieurs entreprises comme Microsoft et Tesla proposent également leurs programmes de primes respectifs aux participants qui parviennent à s’introduire dans leurs systèmes. Le niveau des cybermenaces pour les entreprises et les organisations a augmenté au cours des dernières années. Les mauvais acteurs conçoivent plusieurs moyens d’utiliser des outils sophistiqués pour les exploits. Tant les entités privées que le gouvernement sont exposés à ces exploits.
Le mois dernier, des agences gouvernementales américaines et d’autres autorités chargées de la cybersécurité dans d’autres pays ont publié une déclaration commune, mettant en garde les organisations contre des cybermenaces imminentes. L’avis indiquait que les menaces provenaient à la fois d’individus et d’acteurs de menaces parrainés par des gouvernements.