La razzia des Frenchies de Synacktiv au Pwn2Own Vancouver

La razzia des Frenchies de Synacktiv au Pwn2Own Vancouver


La razzia est impressionnante ! Les chercheurs en sécurité informatique de Synacktiv ont survolé la dernière édition du concours de hacking Pwn2Own Vancouver en remportant plus de la moitié de la cagnotte financière mise en jeu, soit un peu plus d’un million de dollars. Avec 53 points, les hackers de ce spécialiste français des tests d’intrusion sont en effet repartis de la côte ouest canadienne avec un total de 530 000 dollars et une Tesla Model 3.

Selon la newsletter spécialisée Risky Business, il s’agit du plus gros chèque remporté par un compétiteur à ce concours lancé en 2005. Organisée par la Zero Day Initiative, une organisation soutenue par l’éditeur de cybersécurité Trend Micro, cette compétition vise à mettre au jour de manière éthique des vulnérabilités logicielles jusqu’ici non connues, les fameuses failles zero-day.

Des attaques réussies contre des Tesla

La majeure partie des points remportés par Synacktiv sont relatifs à des failles découvertes dans des voitures Tesla, l’un des terrains de jeu récurrent de l’entreprise. L’an dernier, elle avait déjà réussi à ouvrir le coffre, allumer les phares et activer les essuie-glaces en passant par le système d’infodivertissement d’une Tesla Model 3.

Malgré les correctifs apportés par le constructeur automobile, les chercheurs de Synacktiv ont trouvé à nouveau une faille dans ce logiciel. On ignore pour le moment les détails précis de leur manœuvre, une façon de laisser le temps à l’entreprise d’Elon Musk de patcher son produit. On sait cependant que les hackers éthiques ont notamment utilisé la technique par dépassement de tas (Buffer ou heap overflow), ces saturations de la mémoire tampon qui permettent l’exécution de code malveillant.

Auparavant, ils avaient déjà réussi à exécuter une attaque « time-of-check to time-of-use » (Toctou), toujours contre une Tesla, une méthode qui peut permettre l’exécution d’actions non valides. Les chercheurs en sécurité informatique ont enfin trouvé des failles relatives aux systèmes d’exploitation Windows 11, macOs et Ubuntu Desktop, et enfin au logiciel de virtualisation Oracle VirtualBox.





Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.