Réunis à la compétition annuelle Pwn2Own, les ténors de la sécurité informatique ont trouvé plusieurs failles d’importance dans le Samsung Galaxy S22. L’une d’elles leur a permis de pirater le terminal en 55 secondes.
Chaque année, le concours Pwn2Own, est l’occasion pour les chercheurs en sécurité du monde entier de s’affronter durant plusieurs jours pour tenter de trouver des failles de sécurité dans les systèmes d’exploitation des appareils afin des hackers. Cette année, les chercheurs qui ont participé à la compétition qui s’est déroulée à Toronto semblent s’être particulièrement focalisés sur le Samsung Galaxy S22. En trois jours de compétition, les participants ont réussi à trouver pas moins de quatre failles de sécurité leur ayant permis de pénétrer dans l’appareil.
Le Galaxy S22 hacké en 55 secondes
Lors de la première journée de la compétition, une équipe de chercheur du STAR Labs et un chercheur identifié sous le nom de Chim ont fait une démonstration des failles zero day qu’ils ont utilisé dans des attaques réussies. Une autre équipe de chercheurs de Qrious Secure ont par ailleurs tenté de contourner la sécurité du smartphone de Samsung, mais n’ont toutefois pas réussi à faire la démonstration de leur attaque dans le temps qui leur était imparti.
C’est finalement lors de la troisième journée de la compétition que des chercheurs en sécurité de Pentest Limited ont trouvé la faille la plus intéressante. Ils ont en effet mis la main sur un exploit zero day sur lequel ils se sont appuyés pour réaliser un test d’intrusion dans le terminal. Et ils ont réussi haut la main à pénétrer dans les entrailles de l’appareil. Il ne leur a fallu en effet que 55 secondes pour s’introduire dans l’appareil. Grâce à cette découverte, ils ont pu empocher la coquette somme de 25 000 dollars en guise de récompense pour leurs travaux.
À noter que les quatre attaques opérées sur le Galaxy S22 au cours des trois premiers jours de Pwn2Own ont été faites sur un appareil fonctionnant sous la dernière version à jour d’Android. Autrement dit, le constructeur coréen va devoir se pencher très sérieusement sur un patch correctif pour éviter que son terminal ne soit une passoire.
60 failles zero day trouvées en trois jours sur divers appareils
La compétition ne s’est pas focalisée uniquement sur le flagship de Samsung. Les hackers réunis à Pwn2Own se sont penchés sur bien d’autres appareils, notamment des routeurs, des enceintes connectées, des imprimantes, ou encore des NAS provenant de constructeurs comme Cisco, NETGEAR, Canon, Ubiquiti, Sonos, Lexmark, Synology ou encore Western Digital. En trois jours, la soixantaine de failles zero day qui a été dénichée dans les différents appareils testés a permis aux participants de remporter près d’un million de dollars de récompense.
source : 01net