Tesla : la Model 3 remportée par deux hackers lors du Pwn2Own 2019

Une Tesla Model 3 avait été mise en jeu cette année lors du bug bounty géant Pwn2Own. Elle a été remportée par deux hackers se faisant appelé "Fluoroacetate".

Organisée chaque année à Vancouver depuis 2005, la Zero Day Initiative lancée par la société de sécurité Trend Micro est l’occasion le grand-messe du bug bounty, la chasse aux bugs récompensée en monnaie sonnante et trébuchante. Cette année, Tesla avait mis en jeu une Model 3, finalement remportée par deux hackers le deuxième et dernier jour de l’événement.

Un prix bien mérité

Tesla sait rester proche des développeurs et hackers à des fins de sécurité. L’année passée, la société a même porté à $15 000 la récompense maximum qu’il est possible de remporter pour démontrer un bogue logiciel. Cette année, Tesla avait porté le prix du bug bounty du concours Pwn2Own à 375 000 dollars, voiture comprise, pour tout chercheur en sécurité capable de trouver une faille.

Celle-ci l’a été par l’équipe Fluoroacetate composée de Richard Zhu et Amat Cam, qui ont su trouver un bogue au sein du navigateur web de la voiture, qui s’affiche via la tablette de la Model 3. Cette faille logicielle a permis au groupe de contourner les données de stockage aléatoire de mémoire et d’afficher un message sur l’écran. Les deux confrères remportent ainsi le véhicule.

Parmi les 4 millions de primes mises en jeu cette année, seules 545 000 dollars ont été attribuées, dont 375 000 par Tesla uniquement. Parmi les autres bogues reportés, Apple Safari, Microsoft Edge, VMware Workstation et Mozilla Firefox répondent à l’appel. Cette différence entre prize pool et prix remportés peu s’expliquer par une meilleure sécurité logicielle de l’ensemble des acteurs participants à l’opération. Un pas en avant pour une plus grande sécurité des utilisateurs.