Le duo de chercheurs qui a piraté la voiture Tesla gagne le classement général de la compétition. Ils peuvent aussi garder la voiture.
Une équipe de chercheurs en sécurité a piraté une voiture Tesla Modèle 3 lors de la dernière journée du concours de piratage informatique Pwn2Own 2019 qui s’est tenu cette semaine à Vancouver, au Canada.
L’équipe fluoroacétate –made d’Amat Cama et Richard Zhu– piraté la voiture Tesla via son navigateur. Ils ont utilisé un bogue JIT dans le processus de rendu du navigateur pour exécuter du code sur le micrologiciel de la voiture et afficher un message sur son système de divertissement.
Conformément au règlement du concours annoncé l’automne dernier, le duo doit maintenant garder la voiture. En plus de garder la voiture, ils ont également reçu une récompense de 35 000 $.
« Dans les prochains jours, nous publierons une mise à jour logicielle qui aborde cette recherche », a déclaré aujourd’hui un porte-parole de Tesla au sujet de la vulnérabilité de Pwn2Own. « Nous comprenons que cette démonstration a demandé un effort et des compétences extraordinaires, et nous remercions ces chercheurs pour leur travail qui nous permet de continuer à faire en sorte que nos voitures soient les plus sûres sur la route aujourd’hui. »
LES PIRATES DE VOITURES TESLA ONT ÉGALEMENT REMPORTÉ LA COMPÉTITION
Ce n’est pas une coïncidence si l’équipe Fluoroacétate a également remporté le concours de trois jours après avoir obtenu 36 points « Master of Pwn » pour des exploits réussis dans Apple Safari, Firefox, Microsoft Edge, VMware Workstation et Windows 10.
Le duo a gagné 375 000 $ en prix, sur un total de 545 000 $ attribués au cours de la compétition de trois jours.
Il s’agit du deuxième concours de piratage informatique organisé par Pwn2Own par l’équipe Fluoroacétate, qui s’est également classé premier et qui a reçu le trophée « Master of Pwn » à la conférence Pwn2Own de Tokyo en novembre 2018.
QU’EST-CE QUE PWN2OWN ?
Pwn2Own, organisé par l’équipe Zero-Day Initiative de Trend Micro, est considéré comme le plus important concours de piratage informatique pour les chercheurs en chapeau blanc dans le monde de la sécurité de l’information (infosec).
Les chercheurs en sécurité se rassemblent lors de compétitions Pwn2Own et démontrent des exploits par rapport à une liste de cibles prédéfinies (logiciels). Ils gagnent des points et de l’argent pour chaque exploit réussi. Toutes les vulnérabilités utilisées dans le concours de piratage informatique doivent être nouvelles et immédiatement révélées aux éditeurs de logiciels.
Au cours des dernières années, de nombreuses entreprises dont les applications ont été piratées chez Pwn2Own parrainent maintenant le concours et ont des ingénieurs sur site pour recevoir les rapports de vulnérabilité des chercheurs eux-mêmes, livrant parfois des correctifs en quelques heures.
Cette année, Mozilla a corrigé Firefox un jour après que les chercheurs aient présenté deux exploits à Pwn2Own –see v66.0.1.
Outre les navigateurs Firefox et Tesla, cette année, les chercheurs de Pwn2Own ont également exploité des vulnérabilités dans Apple Safari, Microsoft Edge, VMware Workstation, Oracle Virtualbox et Windows 10.
Le résumé vidéo du troisième jour de Pwn2Own se trouve en haut de cet article, tandis que les résumés des deux premiers jours sont incorporés ci-dessous.