Synacktiv pirate la Tesla et remporte 200 000 $ de prime et une deuxième Tesla Model 3
L’équipe française de chercheurs en cybersécurité remporte pour la 3ème fois la compétition de piratage sur la Tesla lors du concours Pwn2Own qui s’est tenu à Vancouver
Un chapitre récent de la compétition Pwn2Own se concentre exclusivement sur les vulnérabilités des véhicules connectés. Avec un total d’un million de dollars de prime en espèces et des voitures à gagner, l’événement encourage vivement la recherche en cybersécurité dans l’industrie automobile. Tesla, qui a déjà participé à plusieurs éditions de Pwn2Own, était le principal sponsor de cette nouvelle compétition.
L‘équipe de hackers éthiques de Synacktiv remporte donc à nouveau le challenge Pwn2Own avec le hack de la Tesla à Vancouver, après s’être illustrée sur le même modèle à Tokyo en janvier dernier. C’est la troisième fois que Synacktiv, expert en cybersécurité offensive, réussi à compromettre la Tesla. Cette fois c’est la sécurité de l’unité de contrôle électronique (ECU) et du BUS CAN des véhicules électriques qui sont exploités. Une prouesse réalisée en moins de 30 secondes Live devant le jury du Pwn2Own… un exploit qui permet à l’équipe de Synacktiv de remporter une récompense de 200 000 $ et une toute nouvelle Tesla Model 3.
Tesla met en jeu ces primes afin d’encourager la recherche de potentielles failles critiques sur ses véhicules connectés. En bénéficiant des travaux de recherche d’une communauté de hackers internationaux, elle accède aux détails des failles de sécurité qu’elle n’avait pas identifié, et que le constructeur s’engage à corriger rapidement, assurant ainsi la sécurité de ses produits et la protection des utilisateurs. Selon les règles du concours, les vulnérabilités exploitées et signalées doivent être corrigées sous 60 jours sous peine de divulgation publique.
Organisé par Zero Day Initiative (ZDI) le concours de piratage Pwn2Own encourage une collaboration proactive avec les chercheurs en cybersécurité à l’échelle mondiale. La participation de Synacktiv à ce type de challenge est principalement motivée par le défi technique, et l’opportunité de se mesurer à d’autres experts du domaine. Les phases de préparation du concours, sont souvent longues et enrichissent le travail en équipe. Par la suite, les détails techniques complets des attaques sont généralement partagés entre pairs lors de conférences internationales de renom.
Avec cette nouvelle victoire à son palmarès de Synacktiv, Renaud Feil, co-fondateur et Président de Synacktiv, déclare : « C’est le fruit du travail continu de nos équipes en matière d’innovation et de sécurité. Notre engagement indéfectible à repousser les limites de la cybersécurité est une source de fierté. Nous contribuons à renforcer la protection des systèmes informatiques contre les menaces émergentes, démontrant ainsi notre détermination à préserver l’intégrité et la fiabilité des technologies numériques. »
A propos de Synacktiv
Fondée en 2012 par deux experts en cybersécurité, ses principaux domaines d’expertise sont les tests d’intrusions, les audits de sécurité, la rétro-ingénierie, la recherche de vulnérabilités et la réponse à incidents.
Synacktiv participe à des projets sensibles de renommée mondiale. Elle développe de nombreux outils de sécurité offensifs dans le cadre de ses activités.
Synacktiv est agréée PASSI RGS et LPM (Prestataire d’Audit de la Sécurité des Systèmes d’Information) & CESTI (Centre d’Évaluation de la Sécurité des Technologies de l’Information) par l’ANSSI. Labellisée Cybersecurity Made In Europe par l’Alliance pour la Confiance Numérique (ACN), organisme certificateur autorisé par l’Autorité nationale des jeux (ANJ).
L’entreprise compte plus de 200 clients et emploie actuellement une équipe de plus de 150 experts en cybersécurité. Elle opère principalement depuis ses bureaux de Paris, Toulouse, Lyon, Lille et Rennes. Les équipes interviennent en France, en Europe et à l’international.
A une échelle nationale ou internationale, l’implication de Synacktiv au sein de la communauté cyber se traduit par la participation à de nombreux évènements (conférences, challenges, CTF) ainsi que la publication régulière d’alertes de sécurité ou d’articles.
Pour en savoir plus www.synacktiv.com
A propos de ZDI (Zero Day Initiative)
Zero Day Initiative (ZDI) organise le concours de piratage Pwn2Own, qui a lieu trois fois par an, au cours duquel des équipes de hackers peuvent remporter des prix en espèces ainsi que des logiciels et du matériel qu’ils ont réussi à exploiter. C’est un concours de hacking international de recherche de vulnérabilités logicielles, lancé en 2005 par TippingPoint. Le programme a été racheté par Trend Micro dans le cadre de l’acquisition de HP TippingPoint en 2015. ZDI achète diverses vulnérabilités logicielles à des chercheurs en cybersécurité, puis divulgue ces vulnérabilités à leurs fournisseurs d’origine pour qu’ils les corrigent avant de rendre ces informations publiques.
Le terme « zero-day » fait référence à la première fois, ou jour zéro, où un fournisseur prend connaissance d’une vulnérabilité dans un logiciel spécifique. Le programme a été lancé pour récompenser en espèces les pirates informatiques qui parviennent à trouver des exploits dans n’importe quel type de logiciel. ZDI a été créée en tant que programme tiers pour collecter et encourager la découverte de telles failles, tout en protégeant à la fois les chercheurs et les informations sensibles qui se cachent derrière ces vulnérabilités.