Pour sa dixième édition, le concours 2022 de Pwn2Own Toronto a permis la distribution de 989 750 dollars aux découvreurs de 63 exploits « zéro day », rapporte BleepingComputer.
Si aucune des 26 équipes participantes ne s'était inscrite pour pirater les smartphones Apple iPhone 13 et Google Pixel 6, le Samsung Galaxy S22 entièrement patché a quant à lui été piraté à quatre reprises, l'équipe de Pentest Limited parvenant même à le faire en 55 secondes seulement.
Les autres failles découvertes, et récompensées, visaient des imprimantes, routeurs et autres appareils connectés disposant des dernières mises à jour et configurés par défaut.
Leurs vendeurs disposent désormais d'un délai de 120 jours pour les patcher, avant que la Zero Day Initiative, organisatrice du concours, ne rende publiques les failles de sécurité.
Commentaires (5)
#1
Moins d’un million de dollars pour 63 failles « zéro day », je trouve ça franchement peu. Les constructeurs ont de la chance que ces chercheurs n’aient pas jugé infiniment plus rémunérateur de les revendre à d’autres personnes ou organisations.
#1.1
fais une recherche sur denis tokarev / illusionofcha0s et tu auras une idée du pourquoi ca paie si peu. apple est un peu mauvais joueur, mais ce genre de commentaire est modéré illico sur macgco..
#2
On a une explication à ça ?!
#2.1
Pown2Own ne paye pas assez pour ces 0-day là ;-).
C’est plus rentable de les soumettre aux bug bounties d’Apple et Google. (Ou de les revendre à des acteurs moins recommandables).
#3
Trop facile à pirater ou menace de retrouver les pirates et de leur éclater les giboles à coup de battes ?