Passer au contenu

Pwnie Awards 2022 : voici les plus grands fiascos de l’année en matière de sécurité informatique

L’éditeur israélien a obtenu le prix de la meilleure faille mobile, qu’il a d’ailleurs utilisée dans son logiciel d’espionnage Pegasus. Google a été cloué au pilori pour avoir ruiné une opération anti-terroriste.

Comme chaque année, la communauté des hackers s’est retrouvée en marge de la conférence Black Hat pour décerner les prix « Pwnie Awards », des jolis petits poneys qui récompensent des performances particulières… ou des fiascos dans le domaine de la sécurité informatique.

Cette année, comme le relate le site Heise.de, les lauréats sont particulièrement intéressants, à commencer par NSO Group. L’éditeur israélien, pointé du doigt pour sa stratégie commerciale peu regardante des droits de l’Homme, a reçu le prix de la meilleure faille mobile (« Best MobileBug ») pour « ForcedEntry », une attaque réalisée sur des terminaux iOS. On pourrait dire que c’est un peu cynique, mais d’un point de vue technique, c’est amplement mérité.

Les chercheurs en sécurité de Google ont analysé le travail de NSO en détail et ils ont été estomaqués par le niveau de complexité. Les hackers israéliens ont utilisé iMessage pour créer une attaque 0-clic capable de contourner le tout nouveau dispositif de protection « BlastDoor » d’Apple. Et pour y parvenir, ils ont carrément créé un ordinateur virtuel Turing-complet au sein d’un parseur d’image de l’iPhone, avec des registres, des opérateurs logiques et tout ce qui va avec. De la folie pure. Selon Vice, aucun représentant de NSO n’est pourtant venu récupérer son petit poney. C’est dommage.

Des « ventes privées » sur HackerOne

Google, de son côté, a reçu le prix de la plus mauvaise réaction fournisseur (« Lamest Vendor Response »). En 2021, le géant informatique avait révélé une campagne de piratage qui s’appuyait sur 11 failles zero-day dans Windows, Android et iOS. En réalité, il s’agissait d’une opération anti-terroriste occidentale qui, en conséquence, a été ruinée. Google ne pouvait pas ignorer cela, mais l’entreprise est restée droite dans ses bottes, plaçant la chasse aux bugs au-dessus de toute autre considération éthique. Une réaction peu appropriée, a estimé le jury.

Le prix du plus grand fiasco (« Most Epic Fail ») a été décerné à un salarié de HackerOne, une plateforme en ligne de chasse aux failles informatiques. Le lauréat avait accès aux vulnérabilités signalées par les utilisateurs et s’en est servi sans aucun scrupule pour organiser en parallèle des ventes privées de failles zero-day. C’est sûr, il était à la bonne place pour le faire. Mais, il ne sera sans doute plus jamais.

De manière plus fun, le prix de la meilleure chanson (« Best Song ») a été décerné au projet Mammoth et son morceau « Dialed Up ». Longue de 3 minutes et 24 secondes, elle embarque tout un jeu de piste de type « Capture The Flag » avec une dizaine de challenges à résoudre. Le jeu a démarré le 6 août dernier et finira le 15.

Parmi les autres lauréats, il y a:

  • le chercheur Yuki Chen qui a trouvé à lui tout seul plus de 50 failles dans Windows Server (« Most Epic Achievement »),
  • le groupe de chercheurs qui a trouvé l’attaque HertzBleed (« Best Cryptographic Attack »),
  • la société Dawn Security Lab pour la vulnérabilité Mystique dans Android (« Best Privilege Escalation »),
  • le chercheur Yannayl pour sa technique de spoofing IP (« Most Under Hyped Research »),
  • la société Kunlun Lab pour la découverte d’une faille zero-day qui datait de plus vingt ans dans Windows RPC et qui atteint un score de dangerosité de 9,8 sur 10 (« Best Remote Code Execution »),
  • le groupe de chercheurs qui a trouvé la récente faille Aepic Leak dans les processeurs Intel et AMD (« Best Desktop Bug »),
  • les chercheurs de l’université romaine Sapienza pour la création de l’outil d’analyse dynamique Custom Processing Unit (« Most Innovative Research »).

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Source : Heise


Gilbert KALLENBORN