Pwn2Own 2023 : Windows 11, Tesla et macOS ont été piratés par les hackers
A l’occasion du célèbre concours de piratage Pwn2Own 2023 de Vancouver, des hackers et chercheurs en sécurité informatique ont utilisé et mis en lumière des faille zero-day sur Windows 11, macOS et chez Tesla.
Chaque année, les hackers et chercheurs en sécurité du monde entier s’affrontent lors du Pwn2Own. Un évènement très important, notamment pour les constructeurs, puisqu’il permet de mettre à l’épreuve leurs systèmes de sécurité.
Bien entendu, chaque vulnérabilité inédite découverte et chaque intrusion réussie est récompensée. Après avoir mis à mal les Galaxy S22 lors des Pwn2Own 2022 de Toronto, les participants sont invités cette année à Vancouver pour casser les protections de Windows 11, de macOS, d’Ubuntu ou encore de Tesla.
Le concours a ouvert ses portes ce 22 mars 2023 et se conclura deux jours plus tard. Lors de la 1ère journée de compétition, les hackers ont multiplié les efforts pour tenter de remporter une partie des 375 000 $ mis en jeu, ainsi que le premier prix : une Tesla Model 3.
TESLA, WINDOWS 11 ET MACOS ONT CÉDÉ AUX ASSAUTS DES HACKERS
Comme on peut le voir sur le blog officiel Zero Day Initiative, Adobe Reader a été le premier à tomber dans la catégorie Applications d’entreprise. Abdul Aziz Hariri de Haboob SA a abusé de plusieurs correctifs défaillants via une chaîne logique à 6 bugs. Dans la foulée, le hacker a réussi à contourner une liste d’API sur macOS, ce qui lui a permis de remporter 50 000 $ au total.
Ensuite, l’équipe STAR Labs a mis en lumière une faille zero-day dans la plateforme de collaboration SharePoint de Microsoft. Grâce à cet exploit, le collectif a remporté 100 000 dollars. Mais ce n’est pas tout puisqu’il est également parvenu à pirater Ubuntu Desktop via une faille déjà connue (15 000 dollars de plus ajoutés aux gains).
De son côté, le hacker Synacktiv a gagné 100 000 dollars et une Tesla Model 3 après avoir exécuté avec succès une attaque TOCTOU (Time of check of Time to use) contre Tesla Gateway dans la catégorie Automobile. Le pirate a utilisé la même méthode pour élever ses privilèges sur macOS. Au total, Synactiv est reparti avec 140 000 dollars et la berline électrique.
Windows 11 a aussi été malmené par Marcin Wiazowski, qui a exploité une faille zero-day de validation d’entrée inappropriée. Il a obtenu 30 000 dollars pour sa découverte. Ce jeudi 23 mars 2023, les participants ont été invités à faire la démonstration de vulnérabilités zero-day sur Microsoft Teams, Oracle VirtualBox, Tesla Model 3 Infotainment Unconfined Root et Ubuntu Desktop.