L’édition 2017 de la compétition Pwn2own a démarré. Pour rappel, Pwn2own rassemble plusieurs chercheurs en sécurité et hackers qui présentent des failles de sécurité pouvant être exploitées sur les smartphones, les logiciels ou encore les systèmes d’exploitation. Les failles leur permettent de gagner de l’argent.

Pour cette année, deux failles de type 0-day ont été dénichées au niveau de Safari sur Mac. Une faille 0-day signifie qu’elle ne dispose pas de correctif par le constructeur (Apple en l’occurrence) et n’est pas connue. Les hackers Samuel Groß and Niklas Baumstark ont remporté 28 000 dollars pour exploiter cinq vulnérabilités et obtenir les droits root sur le Mac. Ils en ont profité pour afficher un message (pwned by niklasb & saelo) sur la Touch Bar du nouveau MacBook Pro, une opération qui n’est pas possible normalement.

Dans la foulée, Chaitin Security Research Lab s’est également attaqué à Safari pour avoir les droits root sur macOS et ainsi faire réellement ce qu’il veut. Six vulnérabilités ont été utilisées, avec toujours Safari dans le viseur pour y arriver. 35 000 dollars ont été remportés pour cet exploit.

Il est bon de noter qu’Apple a été mis au courant des failles et pourra ainsi les corriger avec des mises à jour. Il en va de même pour les failles de sécurités dévoilées lors du Pwn2own pour les autres logiciels et systèmes d’exploitation.