HP a accueilli la compétition de piratage étique Pwn2Own du 12 au 13 avril lors de la CanSecWest, l’une des conférences sur la sécurité la plus éminente, à Vancouver, Canada, dans le cadre de son programme Zéro Day Initiative.
Ce concours permet à des équipes de chercheurs de démontrer des failles de sécurité dans des logiciels. Leurs éditeurs peuvent alors travailler à supprimer ces vulnérabilités. Des failles ont été découvertes dans tous les logiciels en compétition.
Ces concours sont très populaires avec les éditeurs de logiciels car ils leur permettent de trouver et de réparer les bogues de sécurité plus rapidement. Les montants offerts atteignent des records chez Google ( 3 millions de dollars versés en 2013), Facebook et bien d’autres.
Pour les équipes de chercheurs, les sommes en jeu sont considérables et peuvent même les financer pendant des mois.
Pwn2Own a commencé en 2007 avec 100 000 $ (72 000 €) de prix . Cette année, 850 000 $ (612 000 €) de prix ont été versés, et 82 500 $ (59 400 €) donnés à la Croix-Rouge canadienne.
L’équipe française VUPEN sort grand gagnante avec 400 000 $ (288 000 €) de prix.
Personne en revanche n’a gagné le grand prix de 150 000 $ pour « l’ Exploit Unicorn », qui consistait à lancer un code dans le domaine du système à partir d’Internet Explorer 11 64-bit sur Windows 8.1 64-bit avec l’Enhanced Mitigation Expérience Toolkit installé.
Résultats
Logiciel | Vulnérabilité | Equipe | Prix $ |
Adobe Flash | Use-after-free with | Team VUPEN | 75 000 |
Adobe Flash | Heap overflow | Zeguang Zhou of team509 and Liang Chen of Keen Team | 75 000 |
Adobe Reader | Heap overflow | Team VUPEN | 75 000 |
Apple Safari | Heap overflow | Liang Chen of Keen Team | 65 000 |
Google Chrome | Arbitrary read-write bug | Anonymous | 60 000 |
Google Chrome | Use-after-free | Team VUPEN | 100 000 |
Microsoft IE | 2 use-after-free | Sebastian Apelt + Andreas Schmidt | 100 000 |
Microsoft IE | use-after free | Team VUPEN | 100 000 |
Mozilla Firefox | out-of-bound read/write | George Hotz | 50 000 |
Mozilla Firefox | out-of-bound read/write | Jüri Aedla | 50 000 |
Mozilla Firefox | Priviledge escalation | Mariusz Mlynski | 25 000 |
Mozilla Firefox | Bypassing of browser security | Mariusz Mlynski | 25 000 |
Mozilla Firefox | Use-after-free | Team VUPEN | 50 000 |
Concours de bienfaisance Pwn4Fun