À la conférence Pwn2Own de cette année, à Vancouver, seuls 267 000 dollars ont été remportés sur les deux millions mis sur la table par la Zero Day Initiative (Trend Micro). Sur cette somme, presque la moitié a été gagnée par Richard Zhu (@fluorescence).
Il s’est attaqué à Safari et Edge. Il n’a pas réussi sur le premier à mettre en place sa chaine d’exploitation, mais ZDI s’est montrée tout de même intéressée. Sur le second, l'assaut a fonctionné, mais à la troisième tentative et à 1min30 de la fin du chronomètre. Pour rappel, les participants n’ont droit qu’à trois essais de 30 minutes. Zhu a ainsi gagné 120 000 dollars.
En tout, on a pu compter quatre attaques contre Safari (deux réussies), trois contre Edge (une réussie) et une contre Firefox. Deux points à relever cependant sur cette édition 2018 du concours. D’une part, aucune équipe chinoise n’était présente, alors que la Chine domine la compétition depuis plusieurs années. D’autre part, personne ne s’en est pris à Chrome.
Pour rappel, les failles collectées par ZDI sont toujours communiquées aux éditeurs concernés. Ils ont 90 jours pour publier des correctifs, sans quoi les détails seront rendus publics. Un fonctionnement identique au Project Zero de Google.
Commentaires (15)
#1
aucune équipe chinoise n’était présente, alors que la Chine domine la compétition depuis plusieurs années
Ailleurs sur la toile:
China is no longer allowing its researchers to compete.
“China’s government wants to keep vuln discoveries by its citizens within its borders, a sentiment expressed by the country’s top executives as well. Leading Chinese security company Qihoo 360’s CEO Zhou Hongyi is a vocal opponent of Chinese teams going abroad to compete in events like Pwn2Own.”
https://www.engadget.com/2018/03/16/chinese-hackers-pwn2own-no-go
#2
#3
la Chine considère la découverte de faille comme un avantage stratégique, et comme ils sont largement en tête des découvertes de 0day, ça risque de faire mal.
#4
“Un fonctionnement identique au Project Zero de Google.”
" />
Sauf que ZDI respecte vraiment ses 90 jours, pas gooogle
#5
#6
ça fait quand même peur quand on analyse ce système…
“les participants n’ont droit qu’à trois essais de 30 minutes”
Ce qui veut dire que s’il avait échoué, la faille n’aurait pas été dévoilée. Et qu’il est simple (1h30 de boulot) de trouver ces failles.
Le gars a attendu cet événement afin de gagner l’argent… d’autres n’attendent pas.
#7
#8
Ouais donc… un peu comme tout le temps, nous, pauvres péons, on s’fait que-ni … Alors que si tu partage à tout le monde la découverte de faille et que tu laisse la Chine et la NSA toutes seules dans leur coin, elles finissent irrémédiablement comme des connes avec leur 0day obsolètes.
Non ? J’suis bisounours ou bien ?
#9
#10
c’est pas la question: la Chine peut obliger ses citoyens à les garder pour elle.
" />
aux US et en Europe, globalement, il va être difficile pour les états d’obliger leurs citoyens à ne pas divulguer des failles, tout simplement parce que les citoyens en question bénéficient de certaines libertés que n’ont pas leurs “homologues” chinois. Pour les américains c’est encore “pire” puisqu’à priori ils sont protégés par le 1er amendement.
tout est plus simple dans une dictature communiste.
edit: c’est évidemment un avantage de plus pour les chinois, d’où sans doute cette décision: ils savent qu’ils ne seront pas suivis.
#11
Non, les failles sont recherchées et trouvées en amont du concours. Les hackers ont ensuite 3 essais pendant le concours pour faire une démonstration de leur trouvailles.
Si les 3 essais échouent, on peut penser que la faille n’est pas exploitable, ou que les recherches sur elle sont insuffisantes.
#12
Ce concours était déjà ridicule depuis des années, merci la Chine de le faire devenir has-been.
" />
#13
#14
Ok, je n’y connais pas grand chose.
Mais cette histoire des 30 minutes reste malgré tout à mon sens une limite stupide. S’il faut 3h pour utiliser la faille ça compte pas?
Si la faille est plus grave que celle démontrée en 30minutes (allez, on va même dire 10!) je considère qu’elle mérite plus d’attention.
#15