Des hackers ont fait sauté les défenses d'iOS 15, de Windows 10 et de Google Chrome lors de la TianFu Cup, une compétition annuelle de piratage organisée en Chine dans la province de Sichuan. D'après les déclarations de certains constructeurs, certaines failles zero-day exploitées durant ce tournoi ont été ou vont être corrigées prochainement.

Nous en avons parlé dans nos colonnes il y a quelques jours, des hackers chinois ont réussi à pirater un iPhone 13 en seulement 15 secondes. Cet exploit a été réalisé lors de la TianFu Cup (du 16 au 17 octobre), une compétition de piratage organisée chaque année dans la province du Sichuan en Chine . Cet évènement s'impose comme le rendez-vous incontournable pour l'élite des hackers de l'Empire du Milieu, surtout depuis qu'ils ont interdiction de participer à des tournois similaires hors des frontières de leur pays.

L'élite des hackers chinois a fait des ravages

Or et comme le rapportent nos confrères du site Forbes, les participants de la TianFu Cup ont fait fort pour cette édition en faisant tomber les défenses d'iOS 15.0.2, mais aussi d'une multitude de services et produits populaires. Ainsi, les hackers ont réussi à exploiter cinq failles de sécurité repérées dans Windows 10, dont une impacte Microsoft Exchange. Quant à Google Chrome, les pirates ont utilisé deux vulnérabilités pour mettre à terre le navigateur.

Et encore, la liste des victimes ne s'arrête pas là : Adobe PDF, le routeur d'Asus AX56U, Docker CE, Parallels VM, QEMA VM, Ubuntu 20, VMware ESXi et Workstation ont eux aussi été piratés avec brio. Comme vous pouvez en douter, les détails concernant les vulnérabilités exploitées et leur effets ne seront connus quand dans les mois à venir.

En effet, les participants à ce genre de compétition se livrent généralement à de la “divulgation responsable”. En d'autres termes, ils s'engagent à ne pas fournir de détails sur les failles exploitées avant que les constructeurs n'aient eu le temps de publier un correctif. Seulement, la TianFu Cup a un statut un peu particulier. En effet, la Chine a décrété une nouvelle loi le 1er septembre 2021 qui oblige tout citoyen chinois à divulguer au gouvernement tout faille zero-day trouvée.

Une compétition inquiétante sur un point précis

Pour Kristina Balaam, ingénieur en chef en sécurité informatique chez Lookout, cette mesure est inquiétante dans le sens où elle signifie que “le gouvernement chinois pourrait stocker un nombre important de vulnérabilités zero-day contre des produits largement utilisés dans d'autres régions et avoir accès aux connaissances nécessaires pour exploiter ces produits avant qu'ils ne soient corrigés avec succès“.

Reste que pour Jack Williams, cofondateur de la société de sécurité informatique BreachQuest, il ne faut pas s'inquiéter plus que ça de la TianFu Cup. Comme il le précise, les participants ont tout intérêt à garder secrètes les vulnérabilités qu'ils détectent pour ensuite les exploiter en concours. La raison ? Il est bien plus rentable de dévoiler ces failles en compétition et de remporter des prix que de les révéler aux constructeurs (via les programmes de chasse aux bugs) ou aux autorités. À titre d'exemple, les pirates de la Team Pangu ont empoché 300 000 dollars lors de la TianFu Cup pour avoir jailbreaker un iPhone 13 sous iOS 15.2.

Concernant les constructeurs concernés par les failles exploitées durant le concours, Microsoft a assuré que “les solutions aux problèmes de sécurité vérifiés qui répondent à nos critères de prise en charge immédiate sont normalement publiées dans le cadre des patchs Tuesday”. Quant à Google, l'entreprise vient tout juste de corriger deux failles de sécurité zero-day sur Google Chrome 95. Tout porte à croire qu'il s'agit des deux vulnérabilités exploitées durant la compétition.