Qu’est-ce qui vient de se passer? Le concours de piratage Pwn2Own de cette année à Vancouver a décerné plus d’un million de dollars à des chercheurs pour avoir découvert et exploité de nombreuses vulnérabilités de sécurité de type « zero-day » jusque-là inconnues. Plus de la moitié de cet argent est allé à une seule équipe.

Pwn2Own est un concours de piratage annuel organisé par l’initiative Zero Day (ZDI) de Trend Micro lors de la conférence sur la sécurité CanSecWest à Vancouver. Chaque année, des chercheurs en sécurité et des experts en code se joignent à la mêlée numérique dans l’espoir de marquer gros et de gagner certains des nombreux prix en espèces fournis par ZDI. Cinq équipes d’experts en sécurité ont exposé plusieurs hacks dans des produits logiciels et technologiques populaires cette année.

À la fin de l’événement de trois jours, les concurrents avaient divulgué 27 vulnérabilités zero-day uniques partageant un total de 1 035 000 $ (et la voiture piratée). Le titre « Masters of Pwn » est allé à l’équipe de la société de tests d’intrusion Synacktiv, qui a obtenu 53 points Master of Pwn, 530 000 $, et le Tesla Model 3.

Synacktiv a pris les devants dès le premier jour lorsque son équipe a compromis une Tesla Model 3 et a échappé aux privilèges d’accès sur macOS. Le deuxième jour, Synacktiv a encore renforcé son avance en démontrant un débordement de tas et une chaîne d’exploitation d’écriture zéro jour OOB contre le système d’infodivertissement Tesla.

Les casseurs de code Synacktiv Thomas Imbert et Thomas Bouzerar ont également pu démontrer une chaîne de trois bogues pour augmenter les privilèges sur Oracle VirtualBox d’une valeur de 80 000 $. Tanguy Dubroca a gagné 30 000 $ pour une démonstration réussie d’escalade de privilèges sur Ubuntu Desktop. À la fin de la troisième journée, Thomas Imbert a récupéré 30 000 $ supplémentaires pour avoir réussi à compromettre un système Windows 11 entièrement corrigé avec un bogue Zero Day Use-After-Free.

Star Labs est arrivé loin derrière, remportant 195 000 $ et 19,5 points MoP, après avoir exploité des failles zero-day dans Microsoft SharePoint et VMWare Workstation, ainsi qu’une collision déjà connue sur Ubuntu Desktop. L’équipe Viettel a obtenu la troisième place, remportant 115 000 $ et gagnant 12 points MoP en piratant Microsoft Teams et Oracle VirtualBox. Qrious Security et le chercheur solitaire AbdulAziz Hariri ont terminé le concours en quatrième et cinquième place avec des prix de 55 000 $ (5,5 points) et 50 000 $ (5 points), respectivement.

Zero Day Initiative fournira désormais les détails des 27 vulnérabilités zero-day présentées lors de Pwn2Own 2023 à leurs éditeurs de logiciels respectifs. Les entreprises auront 90 jours pour corriger les failles et publier leurs correctifs de sécurité avant que ZDI ne les divulgue publiquement, quelle que soit la disponibilité des correctifs.