Windows 11 n'est pas aussi fiable que vous le pensez

Windows 11
(Crédit photo: Microsoft)

Des hackers white hat ont réussi à compromettre Windows 11 à trois reprises et en moins de 24 heures, lors d'un concours de piratage récemment organisé. De quoi soulever des questions sur la sécurité du système d’exploitation.

Le troisième et dernier jour du concours Pwn2Own a vu trois participants distincts utiliser des vulnérabilités de type "zero-day" pour percer l’ultime interface de Microsoft.

Le premier participant (nghiadt12, œuvrant pour le compte de Viettel Cyber Security, filiale de l’armée vietnamienne) a réussi à détourner la configuration des privilèges de Windows 11, via Integer Overflow. Ses concurrents, Bruno Pujos et vnhthp1712 de REverse Tactics (société parisienne de conseil en sécurité informatique), ont utilisé les vulnérabilités Use-After-Free et Improper Access Control pour escalader les mêmes privilèges sur le terminal cible.

Hacking utile

Pendant toute la durée de Pwn2Own 2022, un total de 17 concurrents est parvenu à pirater Windows 11 à plusieurs reprises, mais aussi Ubuntu Desktop, Apple Safari, Oracle Virtualbox et Mozilla Firefox.

Depuis 2019, le concours a ajouté une toute nouvelle catégorie - les systèmes d'infotainment automobiles. Cette année, celui de la voiture Tesla Model 3 a été contourné. Selon les médias suivant l’événement, un groupe appelé Sznactiv a démontré un exploit dans le système d'infotainment, permettant aux hackers impliqués de prendre le contrôle du dispositif informatique intégré. 

Le groupe a reçu 75 000 dollars (environ 70 000 euros) pour avoir identifié les différentes failles existantes. Il a ajouté qu’en lançant des attaques coordonnées avec plus de logiciels malveillants, une prise de contrôle totale du dispositif était possible. Le piratage complet de la Tesla Model 3 rapporte au participant 600 000 dollars (soit à peu près 560 000 euros) et la voiture elle-même, rapporte Kurritu.org. 

Plus d'un million de dollars de récompenses (un peu moins de 935 000 euros) ont été versés pour les piratages réussis, les hackers disposant désormais de 90 jours pour corriger les problèmes, en lien avec les développeurs concernés. S'ils ne respectent pas ce délai, l'initiative "Zero Day" de Trend Micro rendra les failles publiques.

Via BleepingComputer (s'ouvre dans un nouvel onglet)

Sead is a seasoned freelance journalist based in Sarajevo, Bosnia and Herzegovina. He writes about IT (cloud, IoT, 5G, VPN) and cybersecurity (ransomware, data breaches, laws and regulations). In his career, spanning more than a decade, he’s written for numerous media outlets, including Al Jazeera Balkans. He’s also held several modules on content writing for Represent Communications.