Rueil-Malmaison, le 3 avril 2024 - Trend Micro Incorporated (TYO : 4704 ; TSE : 4704), leader mondial de la cybersécurité, annonce les résultats de son concours de bug bounty éthique Pwn2Own, organisé par le programme Zero Day Initiative, dont il est le contributeur majeur. Cet évènement a permis la découverte de nouvelles vulnérabilités dans Windows, Linux, Tesla, Chrome, VMWare et d'autres technologies largement utilisées. Des révélations sur lesquelles Trend s’est appuyé pour offrir une protection renforcée à ses clients le jour même et qui bénéficieront plus largement dès la publication de correctifs logiciels.

L'un des plus grands défis pour les organisations dans la gestion des risques cyber est de parvenir à faire face au volume croissant de menaces par rapport aux ressources de sécurité disponibles. Les éditeurs de logiciels et les fabricants de véhicules électriques sont contraints de trier et prioriser les vulnérabilités à corriger, laissant un nombre record de vulnérabilités connues mais non corrigées. Les clients de Trend bénéficient de plus de 70 jours de protection avancée, grâce aux données et aux informations précieuses recueillies par le programme ZDI.

« Nous comptons sur les développeurs des logiciels testés pour corriger les vulnérabilités décelées. Jusqu'à leur intervention, nous restons exposés aux cyberattaques. L’approche en matière de Threat Intelligence de Trend nous permet d'être protégés immédiatement contre de nouveaux exploits », précise Matt Guzzi, Information Systems Administrator – South Carolina State Library.

Les principaux faits marquants de Pwn2Own Vancouver 2024 :

• Les hackers éthiques ont démontré la toute première évasion de Docker (lorsqu'un attaquant parvient à s'échapper d'un conteneur et à accéder au système hôte).
• Les contributeurs ont divulgué 29 vulnérabilités zero-day uniques et empoché $ 1 132 500 de récompenses.
• Tous les principaux navigateurs web ont été compromis lors de l'événement.
• Le calculateur électronique de la Tesla Model 3 a été piraté avec une exploitation par voie aérienne.

Les divulgations reportées à la ZDI par les contributeurs de l’événement Pwn2Own, et de manière indépendante tout au long de l'année, permettent aux développeurs de logiciels de prendre connaissance des vulnérabilités avant que les acteurs de la menace ne les découvrent et les exploitent. Bien que ces découvertes bénéficient in fine aux entreprises, aux chaînes d'approvisionnement, aux infrastructures et aux clients, les recherches de la ZDI ont montré que les fournisseurs négligent de plus en plus d’apporter les correctifs dans un délai adapté.

« Les cybermenaces continuent de proliférer. En comparaison, les correctifs logiciels accusent du retard. Un statut qui laisse les organisations exposées à un risque de cybersécurité supplémentaire hors de leur contrôle. Les éditeurs de solutions de sécurité en capacité de détecter rapidement les vulnérabilités et de combler cet écart critique par des correctifs virtuels apporteront une valeur supplémentaire indéniable à leurs clients », commente Frank Dickson, Groupe Vice President for Security and Trust – IDC.

Lorsque des vulnérabilités sont découvertes, les entreprises et les fournisseurs de cybersécurité n'ont qu'à attendre la sortie d'un correctif. La connaissance approfondie des menaces (Threat Intelligence) générée par Pwn2Own permet à Trend de protéger ses clients avec des correctifs virtuels pour garantir qu'il n'y ait pas d’interruption dans leur protection. Cela s'applique à plus de 1 000 vulnérabilités par an directement attribuées à la divulgation par le biais de la ZDI.

« Alors que tout le monde parle des problèmes de sécurité avec des sujets chauds comme TikTok et ChatGPT, bon nombre des menaces les plus sérieuses se trouvent dans les infrastructures des principaux systèmes d'exploitation utilisés par des milliards de personnes dans le monde, et dont beaucoup sont ignorées par les grandes entreprises technologiques. Les contributeurs présents à Pwn2Own accomplissent un travail crucial d’identification de ces exploits, avant les cybercriminels, et de partage avec Trend et la ZDI. C'est un facteur différenciant qui permet à Trend de renforcer ses capacités de Threat Intelligence et ses capacités de prévention », indique Dustin Childs, Head of Threat Awareness at the Zero Day Initiative.

Découvrir et atténuer les vulnérabilités dans le monde a une corrélation directe avec la réduction du risque d’attaque. Toutes les équipes de sécurité sont de plus en plus submergées par des menaces qui dépassent leur champ d’action, car elles peuvent venir de n’importe où et cibler aussi bien les ordinateurs, l’appareil industriel, les véhicules connectés et électriques, que les smartphones, les dispositifs NAS, les caméras, les imprimantes, les routeurs, etc.

Pwn2Own verse des primes aux hackers éthiques pour la découverte et la divulgation de vulnérabilités dans les logiciels et le matériel sur lesquels des milliards de personnes comptent chaque jour. Cette recherche améliore l’approche de Threat Intelligence de Trend et permet de découvrir de nouvelles techniques d'exploitation logicielle. Le concours fait également progresser l'industrie dans la lutte contre la cybercriminalité.

Suivez @TheZDI pour plus d'informations sur les prochains événements Pwn2Own et les dernières recherches sur les menaces.