Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Consultant informatique
    Inscrit en
    avril 2018
    Messages
    407
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Consultant informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : avril 2018
    Messages : 407
    Points : 13 942
    Points
    13 942

    Par défaut Gagnez une Tesla Modèle 3 et près d'un million de dollars si vous piratez le logiciel de la voiture électrique

    Pwn2Own 2019 : piratez le logiciel de la voiture électrique et remportez une Tesla Modèle 3 et près d’un million $
    La faille devant être non signalée

    La prime de bogues récompense un chercheur pour avoir découvert une nouvelle faille ou un bogue non signalé. Certaines entreprises en ont fait un programme permanent dans leur organisation qui pourra permet de découvrir d’éventuelles vulnérabilités afin de les corriger avant qu’elles ne soient exploitées par des pirates informatiques à des fins non recommandées. Mais le bug bounty fait aussi l’objet d’un concours, depuis 2007, qui réunit les chercheurs chaque année lors de la conférence sur la sécurité CanSecWest afin de trouver des failles dans des systèmes et repartir avec un prix.

    Microsoft a un certain nombre de programme de bug bounty, y compris un Windows Bounty lancé en juillet 2017 pour la découverte des failles dans Windows 10. Le minimum de la prime pour le programme Windows Bounty est de 500 dollars et peut aller jusqu’à 250 000 dollars.

    Mozilla a aussi lancé un programme de bug bounty en 2004 pour encourager les développeurs, les experts en sécurité et autres traqueurs de vulnérabilités à participer activement à l’amélioration de la sécurité dans ses produits, en reportant les failles qu’ils auraient découvertes. Au lancement la prime était seulement de 500 dollars. Elle est ensuite passée à 3 000 dollars en 2010 avant d’être revue à la hausse à 7 500 dollars en 2015.

    L’Union Européenne, quant à elle, a émis en décembre dernier 14 primes de bogues sur des projets liés aux logiciels libres sur lesquels les institutions au sein de l’Union s’appuient pour effectuer leurs diverses activités. Le programme devrait être lancé au cours de ce mois.

    Nom : Tesl.jpg
Affichages : 2633
Taille : 27,7 Ko

    Selon DriverSpark, le concours de piratage de cette année permettra au hacker qui sera capable de pirater le logiciel de la voiture électrique, de repartir avec non seulement une Tesla Modèle 3 mais également un prix en espèce de près d’un million de dollars. L'entreprise de cybersécurité, Trend Micro est l'équipe qui organise chaque année le concours ZDI (Zero Day Initiative) Pwn2Own et cette année il aura lieu à la conférence CanSecWest à Vancouver au Canada du 20 au 22 mars 2019.

    Habituellement, les participants reçoivent des ordinateurs portables, des logiciels d'entreprise ou des sites Web à exploiter, mais cette année une Tesla Modèle 3 sera le premier prix à gagner, dans la nouvelle « Catégorie Automobile » du concours et pour le remporter, il faudra découvrir des défauts technologiques de la voiture. En dehors du premier prix, les autres lauréats qui parviendront à pirater le logiciel de la voiture pourront repartir avec une série de prix en espèce.

    « Depuis 2007, Pwn2Own est devenu un concours à la pointe de l'industrie qui encourage de nouveaux domaines de recherche sur la vulnérabilité des plates-formes les plus critiques d'aujourd'hui », a déclaré Brian Gorenc, Directeur de la recherche de Vulnérabilité, chez Trend Micro. « Au fil des ans, nous avons ajouté de nouvelles cibles et catégories pour orienter les efforts de recherche vers des domaines qui préoccupent de plus en plus les entreprises et les consommateurs. Cette année, nous nous sommes associés à certains des plus grands noms de la technologie pour poursuivre cet engagement et continuer à mener des recherches pertinentes sur la vulnérabilité », a-t-il ajouté.

    Tesla, la société de voiture autonome s’est associée cette année au concours en proposant une Tesla Modèle 3 au premier de ceux celui qui auront découvert une faille dans son logiciel de véhicule électrique. Tesla offre également des primes en espaces allant de 100 à 15 000 dollars aux autres participants qui signaleront des vulnérabilités non déjà signalées. Tesla propose également, en plus des prix, que les noms des gagnants soient affichés dans la section du Temple de la renommée des chercheurs en sécurité Tesla sur le site Web de l'entreprise.

    « Tesla apprécie le travail effectué par les chercheurs en sécurité pour améliorer la sécurité de nos produits et services », déclare le site Web. « Nous nous engageons à travailler avec cette communauté pour vérifier, reproduire et répondre aux vulnérabilités légitimes signalées. »

    Toutefois, Tesla affirme que ses voitures répondent aux normes de sécurité les plus élevées dans presque tous les domaines et que son travail avec la communauté de la recherche sur la sécurité est inestimable. Par conséquent, si quelqu'un réussit à gagner le concours de piratage Tesla Modèle 3, cela aidera la marque à combler toutes les lacunes inaperçues dans la voiture, a écrit DriveSpark.

    L’association de Tesla, qui n’a pas son propre programme de prime de bogues, à ce concours ne peut que lui être profitable. En effet, Tesla pourra corriger les failles si les chercheurs en découvrent lors du concours. Dans le cas contraire, Tesla pourra vendre des véhicules électriques sécurisés et fiables. Quant à Pwn2Own, il aura l’avantage d'avoir le nom de Tesla attaché à son concours.

    Selon DriveSpark, le concours se concentrera sur six points focaux différents pour que les participants puissent tester leurs compétences. Jusqu'à ce jour, seulement une trentaine de chercheurs ont pu faire inscrire leur nom sur la liste pour le concours.

    Lors de la huitième édition du Pwn2Own en 2015, 7 équipes ont eu 30 minutes pour exploiter leurs cibles et expliquer leurs méthodes dans une série de 12 compétitions en tout. Les cibles visées étaient Chrome, IE 11, Firefox, Adobe Reader et Flash pour Windows et Safari pour Mac OS X.

    Les premiers à entrer en lice n'ont pas manqué d'empocher 60 000 $ pour commencer. Les hackers ont exploité un bug de débordement de mémoire dans Flash pour l'exécution de code à distance. Ils ont aussi exécuté une attaque par élévation de privilège au niveau SYSTEM de Windows. Pour y parvenir, les pirates ont exploité une faille TrueType Font (TTF) dans le noyau de l'OS. Ce qui leur a valu une récompense supplémentaire de 25 000$.

    Source : DriveSpark

    Et vous ?

    Que pensez-vous de l’association de Tesla à ce concours ?

    Lire aussi

    Pwn2Own 2015 : les hackers en action, comment Firefox, Chrome, IE, Safari, Windows, Adobe Flash et Reader ont été piratés
    Pwn2Own 2013 : IE 10, Chrome 25, Firefox 19 et Java 7 tombent, les chercheurs empochent 280 000 dollars
    L'UE veut lancer, dès janvier 2019, une chasse aux bogues dans les logiciels libres à code source ouvert, pour renforcer la sécurité sur Internet
    Mozilla revoit à la hausse la prime pour la découverte des failles dans ses produits, la fondation prête à verser 7 500 $ pour une vulnérabilité
    Microsoft lance un Windows Bounty avec des récompenses qui vont jusqu'à 250 000 USD, pour la découverte de failles sur Windows 10
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Chroniqueur Actualités

    Homme Profil pro
    Consultant informatique
    Inscrit en
    avril 2018
    Messages
    407
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Consultant informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : avril 2018
    Messages : 407
    Points : 13 942
    Points
    13 942

    Par défaut Pwn2Own 2019 : Tesla, Firefox, Safari, Microsoft Edge et Windows 10 ont été piratés

    Pwn2Own 2019 : Tesla, Firefox, Safari, Microsoft Edge et Windows 10 ont été piratés
    Et les chercheurs qui ont piraté la Tesla peuvent la garder

    Aucun système n’est assez sécurisé au Pwn2Own, surtout pas Firefox, Safari, Microsoft Edge et Windows 10, le navigateur de Tesla, Virtualbox et VMware qui ont été piratés à l’édition 2019. Pwn2Own est un concours organisé par l'équipe Zero-Day Initiative de Trend Micro. Pwn2Own est considéré comme le meilleur concours de piratage pour les chercheurs en sécurité informatique à l’échelle mondiale. Les chercheurs en sécurité se réunissent chaque année lors de la conférence sur la sécurité CanSecWest pour tenter de découvrir des exploits par rapport à une liste de cibles prédéfinies (logiciels). Ils gagnent des points et de l'argent pour chaque exploit réussi. Toutes les vulnérabilités qui accordent des points dans le concours de piratage doivent être nouvelles, et elles sont immédiatement divulguées aux fournisseurs de logiciels.

    Pwn2Own Vancouver 2019 : les résultats finaux


    Pwn2Own édition 2019 s’est tenu à Vancouver au Canada la semaine dernière et a permis à une équipe de deux chercheurs – l'équipe Fluoroacetate – en sécurité informatique de remporter le premier prix de la compétition générale après avoir découvert des exploits dans Apple Safari, Firefox, Microsoft Edge, VMware Workstation, Windows 10 et dans la voiture Tesla. Ce qui a valu au duo de pouvoir garder également la voiture conformément au règlement du concours annoncé l'automne dernier.

    En effet, habituellement, les concurrents dans le concours reçoivent des ordinateurs portables, des logiciels d'entreprise ou des sites Web à exploiter, mais cette année une Tesla Modèle 3 a été accordée comme premier prix, dans la nouvelle « Catégorie automobile » du concours et pour la remporter, il fallait découvrir des défauts technologiques de la voiture. DriveSpark avait écrit dans un article publié en janvier, qu’en dehors du premier prix, les autres lauréats qui parviendraient à pirater le logiciel de la voiture pourraient repartir également avec une série de prix en espèce.

    « Tesla apprécie le travail effectué par les chercheurs en sécurité pour améliorer la sécurité de nos produits et services », a déclaré Tesla en janvier dernier. « Nous nous engageons à travailler avec cette communauté pour vérifier, reproduire et répondre aux vulnérabilités légitimes signalées. »

    Au Pwn2Own 2019 de Vancouver, les participants ont réussi, lors de la première journée, à pirater le navigateur Web Safari d'Apple, la VirtualBox d'Oracle et VMware Workstation, ce qui leur a permis de gagner un total de 240 000 dollars en prix. L'équipe Fluoroacetate des deux chercheurs a ciblé les trois applications au cours de cette première journée de Pwn2Own, et est parvenue à les exploiter toutes avec succès. Ces exploits ont permis aux deux chercheurs de gagner 160 000 dollars sur les 240 000 dollars remportés lors de la première journée.

    Pwn2Own Vancouver 2019 - Résultats de la première journée


    Safari d'Apple a été le premier système que l’équipe Fluoroacetate a réussi à faire tomber grâce un bogue JIT (Juste à Temps) avec un débordement de tas pour échapper au bac à sable, selon les résultats de Pwn2Own Vancouver 2019. Ensuite, selon les résultats du concours, ils ont eu raison d’Oracle VirtualBox, dans la catégorie virtualisation du concours. Le dernier programme qu'ils ont exploité, au cours de la première journée, était VMware Workstation, qui leur a apporté une récompense de 70 000 dollars après avoir « tiré parti d'une condition de la compétition menant à une écriture hors limite dans le client VMware pour exécuter leur code sur l'OS hôte ».

    C’est seulement cette année que Pwn2Own a proposé pour la première fois une catégorie automobile avec des prix allant de 35 000 dollars à 300 000 dollars en fonction des divers facteurs, dont l'exploit utilisé, pour tenter de pirater un véhicule Tesla Model 3.

    Au cours de la troisième journée de l'événement qui a été consacrée au piratage automobile, l'équipe Fluoroacetate, composée d'Amat Cama et Richard Zhu, a piraté la voiture Tesla via son navigateur. Ils ont utilisé un bogue JIT dans le processus de rendu du navigateur pour exécuter du code sur le firmware de la voiture et afficher un message sur son système de divertissement. Conformément au règlement du concours annoncé l'automne dernier, le duo a pu garder la voiture piratée, et en plus de la voiture, ils ont aussi reçu une récompense de 35 000 dollars.

    Selon l’article de DriveSpark publié en janvier, Tesla avait affirmé que ses voitures répondaient aux normes de sécurité les plus élevées dans presque tous les domaines et que son travail avec la communauté de la recherche sur la sécurité est inestimable. Par conséquent, si quelqu'un réussit à gagner le concours de piratage Tesla Modèle 3, cela aidera la marque à combler toutes les lacunes inaperçues dans la voiture, avait-il ajouté.

    L’équipe Fluoroacetate a remporté le concours de trois jours après avoir obtenu 36 points « Master of Pwn » pour des exploits réussis dans Tesla, Apple Safari, Firefox, Microsoft Edge, VMware Workstation, et Windows 10. Ce qui leur a permis de remporter 375 000 dollars en prix sur un total de 545 000 dollars décernés pendant les trois jours du concours. C’est le deuxième Concours Pwn2Own que l'équipe Fluoroacetate a remporté, après s'être également classée première et avoir reçu le trophée « Master of Pwn » à la conférence Pwn2Own Tokyo en novembre 2018.

    « Dans les prochains jours, nous publierons une mise à jour du logiciel relativement à cette recherche », a déclaré samedi un porte-parole de Tesla au sujet de la vulnérabilité de Pwn2Own 2019. « Nous comprenons que cette démonstration a demandé un effort et des compétences extraordinaires, et nous remercions ces chercheurs pour leur travail qui nous a permis de continuer à assurer que nos voitures sont les plus sûres sur la route aujourd'hui », a-t-il ajouté.

    Quant à Mozilla, il a patché Firefox un jour après que les chercheurs aient fait la démonstration de deux exploits à Pwn2Own 2019.

    Ci-dessous, les résultats de la deuxième journée du Pwn2Own 2019.

    Pwn2Own Vancouver 2019 : Résultats de la deuxième journée


    Source : Pwn2Own 2019

    Et vous ?

    Que pensez-vous de l’édition 2019 du concours Pwn2Own ?
    Que pensez-vous de cette initiative ?

    Lire aussi

    Pwn2Own 2015 : les hackers en action, comment Firefox, Chrome, IE, Safari, Windows, Adobe Flash et Reader ont été piratés
    Pwn2Own 2013 : IE 10, Chrome 25, Firefox 19 et Java 7 tombent, les chercheurs empochent 280 000 dollars
    Un hacker lance FreedomEV, un projet open source qui apporte de nouvelles fonctionnalités aux voitures Tesla, dont un mode de confidentialité
    Windows 10 va supprimer automatiquement les mises à jour système qui causent des problèmes, notamment des échecs de démarrage, après leur installation
    Firefox 65 promet une sécurité accrue sur Linux, Android et macOS, et apporte le support du format WebP de Google pour un Web plus rapide
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  3. #3
    Membre expert Avatar de marsupial
    Homme Profil pro
    DevOp, Tech leader
    Inscrit en
    mars 2014
    Messages
    950
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : DevOp, Tech leader

    Informations forums :
    Inscription : mars 2014
    Messages : 950
    Points : 3 298
    Points
    3 298

    Par défaut

    Les voitures à fermeture centralisées électroniquement sont les plus chers à assurer du fait de la porosité des systèmes de verrouillage. Donc que cette édition s'attaque à Tesla est une excellente chose. Et on s'aperçoit grâce à cette édition que les navigateurs restent des portes d'entrée privilégiées par les hackers.
    L'initiative en elle même est excellente mais devrait être plus fréquente sur tous les continents.

    Dans l'ensemble, la faiblesse des logiciels en sécurité devrait, depuis le temps que la manifestation existe, inciter les éditeurs à mettre un peu moins de features et plus de qualité dans leur release. Mais le business ne se préoccupe pas de la qualité, juste du retour sur investissement.

    Un jour, peut-être... embauchera-ton les concurrents de ce concours dans les équipes de R&D. Nous manquons tellement de ressources humaines en sécurité.
    Repeat after me
    Le monsieur lutte pour la défense des libertés individuelles et collectives

    Repeat after me...

  4. #4
    Membre éclairé
    Profil pro
    Inscrit en
    novembre 2009
    Messages
    341
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : novembre 2009
    Messages : 341
    Points : 670
    Points
    670

    Par défaut Chrome

    Safari, Edge et Firefox ... ça va pas aider les gens qui essaient de freiner l'apparition du monde "Chrome only" malheureusement

  5. #5
    Membre confirmé
    Homme Profil pro
    Evethings
    Inscrit en
    décembre 2013
    Messages
    202
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Italie

    Informations professionnelles :
    Activité : Evethings

    Informations forums :
    Inscription : décembre 2013
    Messages : 202
    Points : 634
    Points
    634

    Par défaut

    On devrait en faire plus souvent des concours du genre, surtout en Europe afin de permettre un VRAI développement d'une culture du savoir.
    Ceux qui abandonnent une liberté essentielle pour une sécurité minime et temporaire ne méritent ni la liberté ni la sécurité.
    Benjamin Franklin

  6. #6
    Membre confirmé Avatar de KsassPeuk
    Homme Profil pro
    Post-Doctorant
    Inscrit en
    juillet 2013
    Messages
    110
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Post-Doctorant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : juillet 2013
    Messages : 110
    Points : 455
    Points
    455

    Par défaut

    Citation Envoyé par frfancha Voir le message
    Safari, Edge et Firefox ... ça va pas aider les gens qui essaient de freiner l'apparition du monde "Chrome only" malheureusement
    Il n'a simplement pas été directement targeted : https://www.zerodayinitiative.com/bl...d-live-results

    Mais c'est le renderer de Chromium qui a été cassé pour attaquer la Model 3.

Discussions similaires

  1. Réponses: 3
    Dernier message: 24/05/2018, 14h57
  2. Réponses: 0
    Dernier message: 23/01/2018, 19h08
  3. Réponses: 4
    Dernier message: 17/11/2017, 17h58
  4. Réponses: 2
    Dernier message: 21/09/2016, 15h08
  5. Réponses: 2
    Dernier message: 09/05/2016, 13h54

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo