Pwn2Own de Tokyo dédiée aux véhicules connectés

[SCARABEO]

L‘équipe de hackers français de Synacktiv a remporté la compétition Pwn2Own de Tokyo dédiée aux véhicules connectés. Cette nouvelle victoire s’ajoute à une liste impressionnante de succès pour Synacktiv, qui participe à la compétition Pwn2Own depuis 2020.

Organisé par Zero Day Initiative (ZDI) le concours de piratage Pwn2Own Automotive vise à sensibiliser le secteur automobile à la nécessité de renforcer la sécurité des véhicules connectés, et à encourager une collaboration proactive avec les chercheurs en cybersécurité à l’échelle mondiale. L’objectif est de révéler les vulnérabilités logicielles et systèmes des véhicules modernes et de favoriser la collaboration entre la communauté des hackers chercheurs en cybersécurité et l’industrie automobile.

Pwn2Own offre un programme de bug bounty qui permet à la fois aux constructeurs, tels que Tesla co-sponsor de l’édition, de tester et corriger les failles de sécurité de leurs véhicules et d’obtenir une vision approfondie des surfaces d’attaques, et aux hackers d’être récompensés en démontrant leur expertise pointue sur des attaques multi-systèmes.

Cette année, Synacktiv a relevé le défi avec des démonstrations de hacking inédites, en présentant 8 attaques :

4 attaques sur des chargeurs de véhicules électriques : dans chaque cas, Synacktiv a pris le contrôle à distance de l’équipement, obtenant un accès complet.

1 attaque sur un équipement de type autoradio intelligent (musique, caméra de recul, etc) : Synacktiv a pris le contrôle en connectant une simple clé USB.

1 attaque sur un système d’exploitation automobile : Similaire à l’autoradio intelligent, Synacktiv a pris le contrôle en se connectant en USB.

2 attaques sur Tesla : L’équipe a démontré la prise de contrôle à distance de plusieurs fonctionnalités du véhicule depuis le réseau mobile, obtenant des privilèges similaires à ceux acquis lors des compétitions de 2022 et une partie des privilèges de la compétition de 2023.

Une fois les failles révélées, les constructeurs ont 90 jours pour publier les correctifs de sécurité.

David Berard, chercheur en cybersécurité chez Synacktiv et participant au concours Pwn2Own de Tokyo, déclare : « Nous participons à Pwn2Own avant tout pour le défi technique qu’il nous offre. Cela nous donne aussi l’opportunité de nous mesurer à d’autres professionnels du domaine. Les phases de préparation du concours, souvent longues, sont des moments enrichissants de travail en équipe. Les détails techniques complets des attaques sont généralement partagés par la suite lors de conférences internationales renommées. »

Renaud Feil, co-fondateur et Président de Synacktiv, précise : « Cette victoire au Pwn2Own est le résultat du dévouement continu de nos équipes envers l’innovation et la sécurité. Nous sommes fiers de repousser les limites de la cybersécurité et de contribuer à la protection des systèmes informatiques face aux menaces émergentes. »

Sur cette édition 2024, Synacktiv remporte 450 000 dollars de récompense. L’entreprise affichait déjà un beau palmarès au Pwn2Own, puisque l’équipe française avait déjà remporté l’édition à Austin en 2021. En 2022, Synacktiv s’inscrivait dans l’histoire du concours en présentant pour la première fois l’exploitation réussie d’une faille sur un modèle Tesla lors de l’édition de Pwn2Own à Vancouver. Plus récemment, s’ajoutaient d’autres trophées à leur collection en remportant la première place de l’édition de Vancouver 2023, pour avoir réussi à compromettre la Tesla Model 3. Au final, l’équipe de Synacktiv avait remporté 530 000 $ et la Tesla Model 3, consolidant leur réputation de leaders incontestés dans le domaine de la cybersécurité offensive.

LINK

[lamouche]

Comme quoi il y a du bon des fois dans le piratage.

Heureusement que ces concours existent pour mettre dans le mal les constructeurs et corrigent leur erreurs.

Et tout cas c'est bien que la France sorte du lot!