Posté le mars 25, 2019 à 20:58
UN DUO DE HACKER PIRATE UNE VOITURE TESLA ET GAGNE
Deux chercheurs en sécurité ont piraté un Tesla Model 3 et sont partis avec leur prix pour le dernier jour de Pwn2Own Vancouver.
Depuis 12 ans que le concours Pwn2Own existe, il n’y a jamais eu de catégorie automobile jusqu’à cette année. Tesla a fait don de sa nouvelle berline Modèle 3 à la compétition non seulement comme un défi, mais aussi comme un prix.
Richard Zhu et Amat Cam, le duo superstar de la deuxième journée qui s’appellent eux-mêmes Fluoroacetate, ont été les vainqueurs de la voiture. Le duo avait gagné 375 000 $ au début de la troisième journée et on s’attendait à ce qu’ils soient les grands gagnants.
Le premier participant, une équipe appelée Team KunnaPwn, a décidé de retirer sa candidature. Ils ont été suivis par le très populaire Fluoroacetate, qui a reçu des éloges particuliers de la part de Zero Daily Initiative et des spectateurs avec son élégant Edge, Windows et VMWare qui ont fait fureur le deuxième jour de la compétition.
ZDI rapporte qu’ils ont « fait vibrer la foule » en entrant dans le véhicule cible. Après quelques minutes d’installation, ils ont été en mesure de démontrer avec succès la recherche qu’ils avaient effectuée en ce qui concerne le navigateur Web du modèle 3. Devant les nombreuses caméras et la foule qui les observait, ils ont utilisé un bug JIT dans le moteur de rendu pour afficher un message et ont gagné 35 000 dollars pour leurs efforts – en plus de la voiture qu’ils venaient de pirater.
La réaction de Tesla face à la découverte du bug
En termes simples, un bug JIT (ou Just-In-Time) est un bug qui permet à l’attaquant de contourner les données de randomisation de la mémoire qui sont utilisées pour garder les secrets protégés. Tesla était sur place et a dit à TechCrunch qu’ils allaient publier un correctif logiciel pour corriger la faille trouvée par Fluoroacetate immédiatement.
Dans un courriel envoyé par l’entreprise, ils ont confirmé qu’ils étaient heureux de faire partie de Pwn2Own et que le bug qui s’est manifesté était la raison pour laquelle ils étaient prêts à faire don de la voiture au départ. Ils ont ajouté qu’ils étaient heureux que les multiples mesures de sécurité aient empêché d’autres brèches et qu’elles aient été limitées au navigateur, toutes les autres fonctions du véhicule étant protégées.
L’entreprise a ajouté que leur participation à un « concours Pwn2Own de renommée mondiale » ne peut que les aider à s’améliorer et a félicité les « membres les plus talentueux de la communauté de la recherche en sécurité » de leur avoir donné exactement le type de feedback qu’ils souhaitaient recevoir en participant aussi activement au concours.
Ils ont remercié les chercheurs, reconnaissant l’ « effort et la compétence extraordinaires » qu’il leur a fallu pour trouver le bug et les remerciant encore d’avoir aidé Tesla à s’assurer que leurs voitures continueraient à être parmi les plus sûres sur la route en 2019.
Fluoroacetate, les grands gagnants, maintiennent leur record
https://twitter.com/thezdi/status/1109241913209556992/photo/1
Cette victoire de l’Amat Cam et Richard Zhu de Fluoroacetate n’est pas une surprise, d’après ZDI. Les deux premiers jours ont été difficiles et ont impressionné tout le monde lors de la compétition avec leur bug Microsoft Edge qui leur a permis d’échapper à une instance VM. Leur bon travail à Vancouver s’inscrit dans la continuité de la domination qu’ils ont démontrée lors du Pwn2Own de Tokyo qui s’est tenu en novembre. ZDI a ajouté qu’ils étaient impatients de voir ce que les deux avaient en réserve pour d’autres compétitions et les futures expositions de Pwn2Own.
Dans l’ensemble, Pwn2Own 2019 Vancouver a terminé avec 19 bogues trouvés dans une variété de logiciels. VMWare WorkStation, Microsoft Edge et Windows, Mozilla Firefox, le navigateur Safari d’Apple et la Tesla Model 3 étaient tous exposés. Cependant, tous les résultats vont aux entreprises concernées pour améliorer leurs produits, ce qui profite aussi bien aux entreprises technologiques qu’aux chercheurs, comme le confirme ZDI.
