top of page

Le Portal de Facebook a survécu au concours Pwn2Own


Le Portal de Facebook a survécu au concours Pwn2Own

Les haut-parleurs Amazon Echo, les téléviseurs intelligents Samsung et Sony, le téléphone Xiaomi Mi9 ainsi que les routeurs Netgear et TP-Link ont ​​été piratés le premier jour du concours de piratage Pwn2Own.

Pwn2Own : comment ça marche?

Le concours de piratage informatique Pwn2Own se déroulait la semaine dernière à Tokyo, au Japon. Il s’agit de l’une des deux compétitions de piratage Pwn2Own organisées chaque année.

La première a lieu au printemps en Amérique du Nord et porte uniquement sur le piratage de navigateurs, les systèmes d’exploitation, la technologie des serveurs et les machines virtuelles.

La seconde, qui se tient chaque automne à Tokyo, est axée sur les technologies mobiles. L’année dernière, c’était la première fois que les organisateurs de Pwn2Own élargissaient l’édition de l’automne pour inclure également les appareils de domotique.

Le concours suit un ensemble de règles simples. Les organisateurs publient chaque année une liste de cibles pour chacune des deux éditions, des mois à l’avance. Les chercheurs en sécurité qui souhaitent participer peuvent rechercher des vulnérabilités qu’ils pourraient exploiter au cours de la compétition pour des appareils ciblés.

Une fois le concours lancé, les règles sont simples. Les chercheurs choisissent un appareil cible et déploient un exploit. Si l’exploit réussit et permet de prendre le contrôle de l’appareil, les chercheurs remportent un prix en argent et des points dans le cadre d’un classement général.

Tous les bugs et exploits utilisés pendant la compétition sont remis aux organisateurs, qui les communiquent ensuite aux vendeurs respectifs.

Le concept est simple et a contribué à faire de Pwn2Own le concours de hackers à ne pas manquer dans le monde. L’événement reçoit souvent d’énormes sponsors de la part des fournisseurs dont les appareils sont répertoriés comme cibles, et de nombreuses entreprises envoient des représentants à la compétition pour collecter les rapports de bugs en personne et les corriger en quelques heures ou quelques jours.

Le Portal de Facebook tient le choc

L’année dernière, lors de la première édition de Pwn2Own à autoriser les appareils domotiques, les organisateurs ont laissé les chercheurs en sécurité s’attaquer à l’Apple Watch, à Amazon Echo, au Google Home, à l’Amazon Cloud Cam et à Nest.

Cette année, tous les regards étaient tournés vers le système domotique Portal de Facebook.

Lancée en novembre 2018, quelques jours à peine après la dernière édition de Pwn2Own Tokyo 2018, la communauté de la sécurité informatique attendait de voir comment le dispositif se comporterait face aux pirates informatiques les plus performants du moment.

La réponse est arrivée aujourd’hui lorsque les organisateurs du concours ont publié les résultats de la première journée et les sessions de piratage de la deuxième journée.

Les résultats? Personne ne voulait s’attaquer au Portal, ni à Google Home Assistant.

Les chercheurs en sécurité ont choisi les cibles les plus faciles, telles que les routeurs et les téléviseurs connectés, connus pour leurs micrologiciels plus faibles que celui que vous trouveriez habituellement sur un haut-parleur intelligent ou un hub domotique.

Un haut-parleur intelligent a néanmoins été piraté par des participants. Cependant, il ne s’agissait pas de simples de chercheurs en sécurité. Il s’agissait de l’équipe Fluoroacétate, composée d’Amat Cama et de Richard Zhu, vainqueur des deux dernières compétitions Pwn2Own – en mars 2019 et novembre 2018. Les participants de cette équipe sont considérés comme les meilleurs du monde.

Le duo n’a pas seulement piraté Amazon Echo, il a également réussi à pirater les téléviseurs connectés Sony et Samsung, ainsi que le smartphone Xiaomi Mi9, prenant ainsi une confortable avance pour remporter leur troisième tournoi d’affilée.

Les cibles de cette année

Telephones:

Wearables:

Domotique :

Televisions:

Routeurs :

0 vue0 commentaire

Comments


bottom of page