AccueilActualités informatiqueTianfuCup : Les experts en sécurité piratent près de 2 millions de...

TianfuCup : Les experts en sécurité piratent près de 2 millions de dollars américains |

Depuis 2018, la TianfuCup (TFC) est la réponse chinoise au concours annuel Pwn2Own aux États-Unis. En termes de piratage spectaculaire des systèmes d’exploitation, des logiciels et du matériel, le TFC de cette année n’a rien à envier au « modèle » américain : Les participants à Chengdu ont notamment testé Windows 10, Ubuntu 20, iOS 15 sur l’iPhone 13, Microsoft Exchange, le lecteur PDF d’Adobe et les navigateurs Chrome et Safari. La plupart des exploits ont été couronnés de succès et le montant total versé s’élève à plus de 1,88 million de dollars américains, selon le classement final.

En 2018, le gouvernement chinois avait interdit aux chercheurs en sécurité de son pays de participer à des compétitions internationales de piratage, où ils avaient souvent connu auparavant de grands succès. Avec le TFC comme contre-projet, les dirigeants de l’État chinois veulent donner à leurs chercheurs en sécurité l’occasion de démontrer et d’améliorer leurs compétences.

Sommaire

Le gagnant du classement général est la société « Kunlun Lab » – inconnue dans ce pays et, selon son PDG, encore très jeune – avec le montant le plus élevé d’environ 654 500 dollars américains.

Les organisateurs de la TFC ont publié à l’avance cet aperçu du montant des prix.

(Photo : Twitter)

La plus grande attention – et aussi la plus grande somme d’argent pour une seule attaque – a été accordée à une équipe qui a réussi à jailbreaker à distance la dernière version du système d’exploitation mobile iOS 15 d’Apple avec tous les correctifs sur l’iPhone 13 Pro. Plusieurs tweets avec courtes vidéos de démonstration Selon le rapport, des failles de sécurité dans le navigateur mobile Safari, entre autres, ont été exploitées. L’équipe de Pangu a reçu 300 000 dollars américains. Au total, iOS 15 aurait été attaqué avec succès à trois reprises ; entre autres Kunlun Lab a également réussi une attaque par exécution de code à distance. via la constellation iOS/Safari.

Via Twitter, les observateurs ont critiquéque les exploits démontrés à la TFC ne sont généralement pas publiés et que le bénéfice pour la communauté est donc faible. Par le passé, les organisateurs du concours avaient pourtant assuré que les vulnérabilités découvertes seraient signalées directement aux fabricants. Cela signifie que de nombreuses mises à jour de sécurité sont susceptibles d’arriver prochainement, et pas seulement pour iOS 15.

Les autres attaques réussies sont

  • Adobe PDF Reader (4 fois)
  • Le navigateur Safari d’Apple (2 fois)
  • le routeur WLAN ASUS RT-AX56U (2 fois)
  • Docker CE (1 fois)
  • Google Chrome (2 fois)
  • Microsoft Exchange Server 2019 (1 fois)
  • Microsoft Windows 10 (5 fois)
  • Parallels Desktop (3 fois)
  • QEMU VM (1 fois)
  • Ubuntu 20/CentOS 8 (4 fois)
  • VMware ESXi et (1 fois)
  • VMWare Workstation (1 fois)

Cela signifie que les attaques sur seulement trois des cibles ont échoué : le NAS Synology DS220j, le smartphone Xiaomi Mi 11 et un véhicule domestique non spécifié. Malheureusement, le site web de l’événement du TFC n’a pas encore été mis à jour avec les dernières informations sur l’événement.

Plus d'articles