Rueil-Malmaison, le 30 août 2023 - Trend Micro Incorporated (TYO: 4704; TSE: 4704), leader mondial de la cybersécurité, annonce que Tesla sera sponsor principal du tout premier événement Pwn2Own Automotive. Au cours de ce bug bounty dédié à la sécurité des véhicules connectés, les participants s'affronteront pour des gains représentant un million de dollars (prix en espèces et en véhicule Tesla).

Ce rendez-vous met au défi les meilleurs hackers du monde de trouver et d'exploiter les vulnérabilités de logiciels et de dispositifs largement utilisés au quotidien. Une initiative qui tend à identifier des failles avant que les acteurs de la menace ne les exploitent.

« Pwn2Own est un rendez-vous phare du programme Zero Day Initiative (ZDI) de Trend Micro, qui nous aide depuis des années à découvrir de nouvelles vulnérabilités dans les technologies grand public, industrielles et émergentes. Nous sommes ravis d'accueillir Tesla comme principal sponsor, car nous redoublons d'efforts pour étendre notre influence dans le domaine de la cybersécurité automobile », commente Brian Gorenc, VP of threat research – Trend Micro.

L’événement Pwn2Own Automotive, organisé conjointement par ZDI et VicOne, filiale de Trend Micro spécialisée dans la cybersécurité automobile, est le premier bug bounty à se concentrer exclusivement aux voitures connectées. La collaboration entre VicOne, dotée d’une connaissance approfondie de la sécurité des systèmes automobile, et le programme ZDI, qui s'attaque de front à ces défis, représente une réelle synergie entre la cybersécurité automobile et la traque des menaces.

L'objectif est d'encourager la recherche en matière de sécurité dans cet écosystème, d'inciter les fournisseurs à participer à la communauté et de sensibiliser aux sous-composants multiples et complexes des véhicules modernes.

Tesla a déjà collaboré avec Trend Micro et Pwn2Own. La connaissance et la maîtrise de la complexité des véhicules électriques du constructeur automobile ont contribué à faire de Pwn2Own Vancouver un véritable succès.

ChargePoint a également confirmé son intérêt pour l’événement, dont il sera également partenaire. Il fournira notamment des conseils techniques ainsi qu'une assistance matérielle pour le concours.

L'année dernière, ZDI a été à l’origine de la découverte et de la publication de plus de 1 700 nouvelles vulnérabilités. Depuis le début de l’année, plus de 1 000 vulnérabilités uniques de type ‘zero-day’ ont déjà été signalées par les équipes du programme ZDI. Parmi elles, une nouvelle faille dans MOVEit, pour laquelle Trend a collaboré avec les fournisseurs pour une remédiation rapide et une divulgation responsable.

Les clients de Trend bénéficient de plus de 70 jours de protection avancée, grâce aux données et aux informations précieuses recueillies par le programme ZDI. Ces informations avancées permettent à Trend de garder une longueur d'avance sur les menaces potentielles.

A l’occasion de Pwn20wn Automotive 2024, les participants s’affronteront autour de quatre catégories :

• Les véhicules Tesla. Introduite pour la première fois lors de Pwn2Own Vancouver 2019, cette catégorie permettra aux participants de concourir pour gagner des prix en espèces pouvant aller jusqu'à 200 000 dollars et un véhicule. Les concurrents peuvent enregistrer une entrée contre une unité équivalente des Tesla Model 3/Y (basée sur Ryzen) ou Tesla Model S/X (basée sur Ryzen).
• Les systèmes Infotainment In-Vehicle (IVI). Ces derniers se connectent aux téléphones mobiles et fournissent la navigation, l'internet embarqué et le Wi-Fi, ainsi que la connectivité à d'autres systèmes du véhicule via le bus CAN, ce qui en fait une cible attractive pour les pirates informatiques. Trois dispositifs IVI seront particulièrement ciblés.
• Les chargeurs de véhicules électriques. Historiquement, les chargeurs de véhicules électriques n'ont pas fait l'objet d'une grande attention de la part de la communauté des pirates informatiques. Pourtant, les surfaces d'attaque telles que les applications mobiles, les connexions Bluetooth Low Energy (BLE) et le protocole OCPP pourraient toutes permettre à des acteurs malveillants de pirater un véhicule électrique. Le concours portera sur six modèles de chargeurs.
• Les systèmes d'exploitation. Les participants seront en compétition pour parvenir à exploiter en priorité les vulnérabilités d’Automotive Grade Linux, de Blackberry QNX et d’Android Automotive OS.

Pwn2Own est un rendez-vous phare du programme ZDI dont Trend est l’un des contributeurs majeurs, qui a versé plus de 30 millions de dollars depuis 2007, incitant les chercheurs à trouver des vulnérabilités dans toute une gamme de produits technologiques.

L’événement sera accessible en distanciel.

Pour découvrir les formalités d’inscriptions, à réaliser avant la date limite du concours le 18 janvier 2024, et le règlement complet de Pwn2Own Automotiv, rendez-vous en ligne.

Pour en savoir plus, consultez le site : https://www.zerodayinitiative.com/blog/2023/8/28/revealing-the-targets-and-rules-for-the-first-pwn2own-automotive