Concours: 15000$ pour hacker l’iPhone ou le BB Bold

Le 24 mars débutera à Vancouver un concours de hacking opposant des experts en sécurité à des navigateurs Web et, nouveauté, à quatre terminaux mobiles : l’iPhone 3GS, le BlackBerry Bold 9700, un Nokia sous Symbian S60 et le Motorola Droid sous Android.

Le Pwn2Own, le célèbre concours de hacking organisé par TippingPoint à l’occasion de la conférence CanSecWest security offrira aux participants un nouveau challenge : prendre en défaut la sécurité de smartphones populaires dont l’iPhone 3GS ou le Droid sous Android.

La sécurité des mobiles est un sujet de plus en plus crucial, au point que le Pwn2Own proposera cette année de nouvelles épreuves dédiées à l’intrusion et aux attaques contre les OS et navigateurs mobiles.

Des exploits avec peu ou pas d’interaction utilisateur

Sur les 100.000 dollars de prix versés par le sponsor TippingPoint, 60.000 iront aux hackers capables d’exécuter un exploit leur donnant accès à l’un des quatre terminaux mobiles mis à l’épreuve durant ce concours.

Pour remporter 15.000 dollars (prix pour une intrusion sur chaque smartphone), le hacker doit concevoir un code capable de s’exécuter sans ou avec une interaction minimale de l’utilisateur. Les cibles seront l’iPhone 3GS, le BlackBerry Bold 9700, un mobile Nokia sous Symbian S60 et un Motorola sous Android (comme le Droid).

Toutefois, les smartphones ne seront pas les seules cibles du Pwn2Own puisque le concours prévoit également trois jours d’épreuves pour des exploits contre les navigateurs Web (sur différents OS). Le premier jour, les participants se mesureront à IE8, Firefox 3 et Chrome 4 sur Windows 7, ainsi qu’à Safari 4 sur plate-forme MacOS X Snow Leopard.

Les navigateurs toujours au cœur de la sécurité

Lors du deuxième jour, ce sont Windows Vista et Snow Leopard qui seront visés, au travers d’attaques contre les navigateurs Internet Explorer 7, Firefox 3, Chrome 4 et Safari 4. Enfin le troisième jour mettra à l’épreuve les navigateurs sur Windows XP et Snow Leopard toujours pour Mac OS.

L’édition 2009 du concours avait permis de mettre à jour une faille dans Safari sur Mac OS, le premier navigateur à tomber, en quelques secondes, face à Charlie Miller (qui empochait 10.000 dollars et un MacBook Air). Un autre hacker avait pu exécuter un exploit sur IE8, Firefox et Safari. Chrome, plutôt négligé par les participants, avait résisté aux attaques.

En 2008, Apple n’avait pas eu plus de chance (même si l’OS était resté lui inviolé et qu’une interaction avec l’utilisateur était autorisée). Un expert en sécurité avait ainsi pris le contrôle d’un MacBook Air en exploitant une faille de Safari.

Il aura fallu attendre le 3e jour d’épreuve pour voir un participant forcer l’entrée de Windows Vista grâce à une vulnérabilité de Flash. Le Sony Vaio sous Ubuntu était demeuré lui une forteresse inexpugnable jusqu’à la fin. Si des failles existaient, elles n’ont pu être exploitées.
Christophe Auffray, ZDNET France