Les hackers sont sur le pied de guerre. HP a annoncé les dates et le règlement de la prochaine compétition Pwn2Own, la huitième édition de la chasse aux failles 0 day (Zero Day Initiative). L'événement, qui mettra aux prises les meilleurs chasseurs de vulnérabilités de la planète, aura lieu les 12 et 13 mars durant la conférence CanSecWest consacrée à la sécurité informatique à Vancouver (Canada). Organisée par TippingPoint, une division de HP qui développe des systèmes de protection pour les réseaux d'entreprises, cette édition de Pwn2Own consiste à débusquer des failles inédites au sein de plusieurs navigateurs et logiciels. Les récompenses en argent sont particulièrement intéressantes cette année, puisque HP met 645.000$ sur la table.
Les chercheurs et les équipes qui arriveront à dénicher (et à démontrer) une faille au sein de Chrome, Internet Explorer 11 ou Windows 8.1 remporteront ainsi 100.000$. Pour Safari, la récompense est de 65.000$. Firefox (50.000$), Flash ou Reader (75.000$) et Java (30.000$) sont également dans le collimateur des organisateurs, tout comme l'an dernier. Un prix spécial de 150.000$ sera décerné cette année pour ce que HP appelle la faille Licorne, qui consiste à hacker Explorer 11 dans Windows 8.1, avec une difficulté supplémentaire : obtenir un accès aux basses couches du système en contournant EMET (Enhanced Mitigation Experience Toolkit), un outil mis au point par Microsoft pour justement prévenir les risques de piratage.
L'organisation a choisi cette année encore un système de tirage au sort pour sélectionner les équipes et les chercheurs invités à faire la preuve, en 30 minutes, des failles découvertes. Ce système provoque la controverse chez les hackers, car celui qui bénéficie d'un tirage au sort favorable peut repartir avec le prix, pour peu qu'il ait repéré une vulnérabilité évidemment. Il ne suffit pas de trouver une faille : il faut donc aussi avoir de la chance pour être invité sur scène.
Autre polémique, l'argent en jeu attire les équipes de chercheurs chevronnés contre lesquels les individuels n'ont aucun moyen ou presque de briller. Charlie Miller, célèbre chercheur en sécurité, n'a pas manqué de le souligner sur son compte Twitter, où il estime que les équipes annulent tout l'intérêt et le plaisir de tenter sa chance. L'organisation a bien pensé à organiser des concours équipes contre chercheurs, mais l'idée a finalement été abandonnée.
Google organisera sa propre chasse aux failles pour le seul Chrome OS. Baptisée Pwnium, elle aura elle aussi lieu durant la CanSecWest (lire : Chrome OS de nouveau la cible de Pwnium). Le moteur de recherche finance par ailleurs 25% des prix offerts aux chercheurs. Plus généralement, cette compétition n'attire pas que les chasseurs de failles : les constructeurs et éditeurs sont aussi présents sur place pour étudier les vulnérabilités et les boucher aussi rapidement que possible.
Source :
