Sony, iOS, Stuxnet distingués aux « Oscars » du hacking

La conférence Black Hat s’est achevée la semaine dernière par une remise de prix un peu particulière, les Pwnie Awards, qui consacrent les plus belles réussites... et les pires échecs en matière de sécurité informatique.

Eric le Bourlout

01net

le 08/08/11 à 16h11

laisser un avis

Et le Pwnie du plus gros « epic fail » est attribué à… Sony ! On voyait mal comment la firme japonaise pouvait échapper à ce drôle de trophée attribué par les sept juges des Pwnie Awards après le désastre qu’a représenté le piratage du PlayStation Network.

agrandir la photo

Mais les juges, non sans humour, ont établi que Sony méritait aussi ce prix pour d’autres faits d’armes. Notamment pour sa réaction après la publication du « jailbreak » de la PS3 par GeoHot. « Méconnaissant apparemment la façon dont fonctionne Internet et comment il est difficile d’enlever la pisse de la piscine, Sony a essayé d’effacer l’information d’Internet et de poursuivre GeoHot jusqu’en enfer. Inutile de préciser que cela a été une aussi grande réussite que le Minidisc », indique le site des Pwnie Awards. Le jury est également revenu sur la kyrielle de hacks qui ont suivi celui du PSN pour justifier leur choix.

Parmi les autres récompenses remises par les juges, citons le Pwnie du « meilleur bug côté client » qui revient à la vulnérabilité dans la bibliothèque Free Type d’iOS… Qui a été découverte et exploitée par le fameux hacker de l’iPhone, Comex, afin de proposer une nouvelle version de jailbreakme.com il y a quelques semaines. Le fameux logiciel malveillant Stuxnet, calibré pour s’attaquer à des sites nucléaires, a également été récompensé du Pwnie pour « Epic Ownage ». RSA, lui, a hérité du prix « réponse la plus naze d’un fournisseur » pour avoir pris à la légère le hack de sa solution SecurID.

La liste complète des gagnants est disponible ici.

Quand un hacker pirate la batterie d’un Macbook

agrandir la photo

Charlie Miller est un habitué des conférences de sécurité. Ce hacker, spécialiste des systèmes Apple, qui avait fait déjà parler de lui à la Black Hat en réussissant à pirater un iPhone avec de simples SMS ou régulièrement au concours Pwn2Own, a récidivé cette année à la Black Hat : il a mis au point une technique permettant à un hacker de « pirater » la batterie d’un portable Apple. En effet, pour une gestion correcte des batteries, tous les ordinateurs ont besoin d’un jeu de microcontrôleurs spécifiques, situés dans la batterie, en l’occurrence des puces de Texas Instruments dans le cas des Macbook.

Ceux-ci sont protégés par une clé, mais Apple, d’après Miller, n’a pas jugé important de modifier le mot de passe par défaut de ces puces. Résultat : il a pu accéder à certaines des fonctions de ces puces et a réussi à en modifier leur comportement. Il explique que, grâce à sa technique, un pirate pourrait rendre inopérante la batterie ou l’utiliser pour une attaque contre le système d’exploitation, attaque qui résisterait donc à une réinstallation de ce dernier… Miller a cependant indiqué qu’il n’est pas parvenu, contrairement à ce qui a été écrit ici et là après sa présentation, à faire « exploser » un Macbook en surchauffant la batterie, mais expliquait dans sa présentation que cela demeurait une possibilité.