Lors de la nouvelle édition du concours PWNFEST, plusieurs systèmes, navigateurs et autres ont vu leurs défenses percées. Les résultats sont sensiblement différents du dernier, mais ont permis de révéler de nombreuses failles, toutes communiquées aux entreprises concernées.
Le concours, organisé par la société Vangelis, suit les mêmes objectifs globalement que Pwn2Own et sa déclinaison Mobile. Des équipes s’y affrontent et rivalisent pour percer les défenses des systèmes ou produits attaqués. Si l’exploitation des failles fonctionne et que la mission est réussie (en général prendre le contrôle), les vainqueurs remportent des sommes dépassant souvent les 100 000 dollars. Ces concours permettent en outre de montrer l’évolution des techniques et de révéler des failles inconnues.
Safari et Edge sont tombés en moins de 20 secondes
La version 2016 de PWNFEST a surtout propulsé sur le devant de la scène deux équipes, dont une constituée de membres des groupes de hackers Pangu et JH. Les premiers sont surtout connus du grand public pour leurs solutions de jailbreaking, même sur les dernières versions d’iOS. Cette équipe a réussi notamment à exploiter avec succès plusieurs failles dans Safari et à prendre le contrôle d’un Mac équipé de Sierra en 20 secondes, avec toutes les dernières mises à jour. Elle a ainsi empoché 100 000 dollars.
Le navigateur Edge a lui aussi été victime des hackers, mais par deux autres équipes différentes. La première n’était en fait constituée que d’une seule personne, le chercheur sud-coréen JungHoon Lee, mieux connu sous le pseudonyme Lokihardt. Il a réussi à percer les défenses d’Edge et à pouvoir exécuter du code à distance sur un Windows 10 64 bits mis à jour en seulement 18 secondes. Il est également parvenu à prendre le contrôle de VMware Workstation 12.5.1, récoltant 150 000 dollars.
Une minute pour contourner les défenses du Pixel
L’autre grande équipe, baptisée « 360 », s’en est prise elle aussi à Edge. Elle avait peaufiné sa technique pendant presque six mois, et s’appuyait sur une série de failles. Cependant, la démonstration n’a pas pu aboutir : dans son dernier Patch Tuesday, Microsoft a corrigé trois des failles impliquées. Les 30 heures dont disposait l’équipe n’ont clairement pas été suffisantes pour réviser la méthode. Trois failles bouchées sont autant de portes fermées.
L’équipe s’en est pris cependant avec succès à d’autres produits, notamment VMware Workstation 12.5.1 et Flash. Ce dernier, visé dans sa dernière version, n’a finalement tenu que 4 secondes. Mais elle a surtout attaqué le Pixel de Google. Une action attendue, puisque Adrian Ludwig, directeur de la sécurité pour Android, avait indiqué à Motherboard il y a deux semaines que les nouveaux smartphones étaient aussi bien protégés que les iPhone.
La méthode utilisée n’est pas encore connue, mais l’équipe 360 a réussi son pari. Ils ont pris le contrôle du Pixel en 60 secondes en exploitant deux failles de sécurité. Une fois passé les défenses, les hackers ont pu non seulement accéder à des informations personnelles comme les messages et les photos, mais également prendre le contrôle à distance de l’appareil, notamment pour piloter le Play Store. Ils ont empoché les 120 000 dollars.
Dans l'attente des correctifs
Toutes les sociétés éditrices de logiciels où des failles ont été trouvées ont été averties. Les méthodes utilisées ainsi que les détails des brèches de sécurité ne seront pas publiés avant que des correctifs aient été publiés. C’est notamment vrai pour Android, où le cycle des mises à jour impose une certaine attente.
On a ainsi pu voir récemment comment Google avait diffusé des correctifs pour 48 failles de sécurité pour Android. Il s’agissait cependant de brèches dont les constructeurs avaient été avertis un mois avant. Entre temps, la faille Dirty Cow avait été révélée, et son correctif ne faisait donc pas partie du lot, nécessitant d’attendre jusqu’en décembre, à moins d’une diffusion hors cycle.
Le concours PWNFEST ayant eu lieu en fin de semaine dernière, les deux failles utilisées contre le Pixel ne devraient donc être corrigées que dans les bulletins de début janvier.
