PwnFest 2016 : une édition marquée par d’incroyables exploits

La semaine dernière, au cours du PwnFest 2016, un concours de hacking ayant lieu à Séoul, les experts en piratage informatique ont pu montrer leur savoir-faire. Après avoir percé les défenses de plusieurs systèmes et navigateurs, ces hackers ont été récompensés avec une somme totale de 920.000 dollars.

L’équipe de l’éditeur chinois Qihoo 360 est parmi celles qui ont accompli des exploits remarquables. L’exécution d’un code arbitraire à distance aurait en effet suffi à rendre le Google Pixel vulnérable. Le travail a été complètement achevé en moins d’une minute, ce qui a valu à l’équipe de toucher 120 000 dollars de récompense.

Pwnfest

Le Pwnfest 2016 a été particulièrement intense. Près d’un million de dollars de récompenses ont été distribués.

Histoire de marquer le coup, cette équipe a lancé le Google Play Store pour ensuite ouvrir une page web avec le navigateur Google Chrome affichant “Pwned By 360 Alpha Team”.

VMware Workstation, Adobe, Edge et Apple Safari sur la liste

Il ne s’agit pas de la première démonstration sur les faiblesses de Pixel. Ces professionnels en piratage white hat ont indiqué que les mêmes sources qui ont détruit le Nexus 6P pourraient également nuire au Pixel. Ils ont illustré leur travail avec une vidéo pour prouver leurs dires.

Google n’est pas la seule cible des hackers, bien sûr, et certains sont ainsi parvenus à pirater VMware Workstation, Adobe Flash et Microsoft Edge. Cette fois-ci, il s’agit de l’œuvre des cyberninjas de Qihoo 360,  une équipe qui a accompli son exploit en quatre secondes seulement. La somme de 530 000 dollars leur a été attribuée en guise de récompense.

Lokihardt, un jeune hacker âgé de 22 ans, a aussi épaté la galerie avec le piratage de VMware Workstation et de Microsoft Edge. Il compte désormais utiliser la somme de 290.000 dollars qu’il a gagné à l’occasion de ce concours pour se concentrer sur des projets personnels sans plus avoir besoin de travailler.

920 000 $ de récompenses ont été distribués

Une autre récompense de 100.000 dollars a été accordée à la Team Pangu et à JH, leur hacker associé. Ces derniers ont pris Apple Safari comme cible. En 20 secondes, ce groupe a trouvé un moyen d’accéder aux privilèges root d’Apple en se servant d’une faille zero day passée inaperçue jusque là.

Cette expérience a démontré que même les plus grands experts possèdent une faiblesse et seuls Google Chrome et l’iPhone 7 sont restés inviolés pour le moment. Une mise au point sur la sécurité au niveau de leur système reste néanmoins nécessaire.