Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Pwn2Own 2018 : Edge, Firefox et Safari sont tombés

Pwn2Own 2018 : Edge, Firefox et Safari sont tombés

Le 19 mars 2018 à 09h17

À la conférence Pwn2Own de cette année, à Vancouver, seuls 267 000 dollars ont été remportés sur les deux millions mis sur la table par la Zero Day Initiative (Trend Micro). Sur cette somme, presque la moitié a été gagnée par Richard Zhu (@fluorescence).

Il s’est attaqué à Safari et Edge. Il n’a pas réussi sur le premier à mettre en place sa chaine d’exploitation, mais ZDI s’est montrée tout de même intéressée. Sur le second, l'assaut a fonctionné, mais à la troisième tentative et à 1min30 de la fin du chronomètre. Pour rappel, les participants n’ont droit qu’à trois essais de 30 minutes. Zhu a ainsi gagné 120 000 dollars.

En tout, on a pu compter quatre attaques contre Safari (deux réussies), trois contre Edge (une réussie) et une contre Firefox. Deux points à relever cependant sur cette édition 2018 du concours. D’une part, aucune équipe chinoise n’était présente, alors que la Chine domine la compétition depuis plusieurs années. D’autre part, personne ne s’en est pris à Chrome.

Pour rappel, les failles collectées par ZDI sont toujours communiquées aux éditeurs concernés. Ils ont 90 jours pour publier des correctifs, sans quoi les détails seront rendus publics. Un fonctionnement identique au Project Zero de Google.

Le 19 mars 2018 à 09h17

Commentaires (15)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar



aucune équipe chinoise n’était présente, alors que la Chine domine la compétition depuis plusieurs années





Ailleurs sur la toile:



China is no longer allowing its researchers to compete.



“China’s government wants to keep vuln discoveries by its citizens within its borders, a sentiment expressed by the country’s top executives as well. Leading Chinese security company Qihoo 360’s CEO Zhou Hongyi is a vocal opponent of Chinese teams going abroad to compete in events like Pwn2Own.”



https://www.engadget.com/2018/03/16/chinese-hackers-pwn2own-no-go

votre avatar







127.0.0.1 a écrit :



Ailleurs sur la toile:



China is no longer allowing its researchers to compete.



“China’s government wants to keep vuln discoveries by its citizens within its borders, a sentiment expressed by the country’s top executives as well. Leading Chinese security company Qihoo 360’s CEO Zhou Hongyi is a vocal opponent of Chinese teams going abroad to compete in events like Pwn2Own.”



https://www.engadget.com/2018/03/16/chinese-hackers-pwn2own-no-go





Ha merci, j’allais poser la question. Ils se gardent les failles pour eux… 


votre avatar

la Chine considère la découverte de faille comme un avantage stratégique, et comme ils sont largement en tête des découvertes de 0day, ça risque de faire mal.

votre avatar

“Un fonctionnement identique au Project Zero de Google.”



Sauf que ZDI respecte vraiment ses 90 jours, pas gooogle&nbsp;<img data-src=" />

votre avatar







hellmut a écrit :



la Chine considère la découverte de faille comme un avantage stratégique, et comme ils sont largement en tête des découvertes de 0day, ça risque de faire mal.







La découverte de faille est indéniablement un avantage stratégique pour n’importe quelle cyberdivision militaire (Chine, USA, France, …).



La nouveauté c’est que la Chine annonce publiquement en faire une prérogative de l’état. En faisant cela, la Chine pousse les autres pays à faire de même.


votre avatar

ça fait quand même peur quand on analyse ce système…



&nbsp;“les participants n’ont droit qu’à trois essais de 30 minutes”

&nbsp;Ce qui veut dire que s’il avait échoué, la faille n’aurait pas été dévoilée. Et qu’il est simple (1h30 de boulot) de trouver ces failles.

Le gars a attendu cet événement afin de gagner l’argent… d’autres n’attendent pas.

votre avatar







127.0.0.1 a écrit :



La découverte de faille est indéniablement un avantage stratégique pour n’importe quelle cyberdivision militaire (Chine, USA, France, …).





oui sauf que là ça concerne tous les chinois.





La nouveauté c’est que la Chine annonce publiquement en faire une prérogative de l’état. En faisant cela, la Chine pousse les autres pays à faire de même.



La Chine considère sans doute qu’étant donné que ce sont ses chercheurs qui trouvent le plus de failles, elle a tout intérêt à arrêter de les diffuser pour d’une part les exploiter et d’autre part assécher les autres.

ça va surtout pousser tout le monde à dépenser des sous dans la recherche, pas forcément à faire de même.


votre avatar

Ouais donc… un peu comme tout le temps, nous, pauvres péons, on s’fait que-ni … Alors que si tu partage à tout le monde la découverte de faille et que tu laisse la Chine et la NSA toutes seules dans leur coin, elles finissent irrémédiablement comme des connes avec leur 0day obsolètes.



Non ? J’suis bisounours ou bien ?

votre avatar







hellmut a écrit :



ça va surtout pousser tout le monde à dépenser des sous dans la recherche, pas forcément à faire de même.







Dans ce nouveau modèle, toute faille divulguée publiquement est un avantage stratégique de perdu.



Dans le contexte géopolitique actuel, quel grand pays sera prêt à perdre un avantage stratégique national au nom de l’intérêt mondial ? La Russie ? Les USA ? L’Angleterre ? Le Japon ?


votre avatar

c’est pas la question: la Chine peut obliger ses citoyens à les garder pour elle.

aux US et en Europe, globalement, il va être difficile pour les états d’obliger leurs citoyens à ne pas divulguer des failles, tout simplement parce que les citoyens en question bénéficient de certaines libertés que n’ont pas leurs “homologues” chinois. Pour les américains c’est encore “pire” puisqu’à priori ils sont protégés par le 1er amendement.

tout est plus simple dans une dictature communiste. <img data-src=" />



edit: c’est évidemment un avantage de plus pour les chinois, d’où sans doute cette décision: ils savent qu’ils ne seront pas suivis.

votre avatar

Non, les failles sont recherchées et trouvées en amont du concours. Les hackers ont ensuite 3 essais pendant le concours pour faire une démonstration de leur trouvailles.

Si les 3 essais échouent, on peut penser que la faille n’est pas exploitable, ou que les recherches sur elle sont insuffisantes.

votre avatar

Ce concours était déjà ridicule depuis des années, merci la Chine de le faire devenir has-been.



<img data-src=" />

votre avatar







dematbreizh a écrit :



ça fait quand même peur quand on analyse ce système…



&nbsp;“les participants n’ont droit qu’à trois essais de 30 minutes”

&nbsp;Ce qui veut dire que s’il avait échoué, la faille n’aurait pas été dévoilée. Et qu’il est simple (1h30 de boulot) de trouver ces failles.

Le gars a attendu cet événement afin de gagner l’argent… d’autres n’attendent pas.





Heureusement que l’on ne trouve pas et n’exploite pas une faille en 30 minutes. Trouver des faille c’est des jours voire des mois de travail. Les gens qui participent au concours connaissent bien évidement les failles qu’ils vont montrer avant le concours.



&nbsp;Les 30 minutes c’est le temps qu’il ont pour faire la démonstration de leur faille, ce qui peut être juste si cela requiert des manipulations complexes.


votre avatar

Ok, je n’y connais pas grand chose.



&nbsp;

Mais cette histoire des 30 minutes reste malgré tout à mon sens une limite stupide. S’il faut 3h pour utiliser la faille ça compte pas?



Si la faille est plus grave que celle démontrée en 30minutes (allez, on va même dire 10!) je considère qu’elle mérite plus d’attention.

votre avatar







dematbreizh a écrit :



Ok, je n’y connais pas grand chose.



 

Mais cette histoire des 30 minutes reste malgré tout à mon sens une limite stupide. S’il faut 3h pour utiliser la faille ça compte pas?



Si la faille est plus grave que celle démontrée en 30minutes (allez, on va même dire 10!) je considère qu’elle mérite plus d’attention.



C’est vrai. Mais ce n’est pas le principe de Pwn2Own <img data-src=" />


Pwn2Own 2018 : Edge, Firefox et Safari sont tombés

Fermer