Chaque année, des dizaines de chercheurs en sécurité et de pirates informatiques en général se réunissent à la conférence CanSecWest pour montrer aux fabricants de navigateurs que leurs logiciels présentent des défauts. C’est ce qui se passe à Pwn2Own, un concours dans le cadre de la conférence où les participants sont encouragés à montrer les vulnérabilités de Firefox, Internet Explorer, Safari et Chrome. Le concours de cette année comporte de nouvelles règles.
Désormais, celui qui gagnera le plus grand prix sera celui qui aura marqué le plus de points en suivant les règles du concours pendant ses trois jours. Contrairement aux années passées, où un chercheur ou une équipe ne pouvait démontrer une vulnérabilité qu’au moment du tirage au sort, la nouvelle carte de pointage stimulera la divulgation du plus grand nombre de failles possible.
Les points varient selon le type de vulnérabilité et le jour. Le premier jour, les vulnérabilités divulguées et prouvées vaudront 10 points, le deuxième 9 et le troisième 8, tandis que les vulnérabilités non publiées, appelées 0-day, vaudront 32 points quel que soit le jour où elles sont divulguées.
Celui qui obtient le plus de points à la fin de la conférence obtient 60 000 €. Les deuxième et troisième places recevront respectivement 30 000 et 15 000 euros. Aucun d’entre eux ne peut cependant gagner sans démontrer une vulnérabilité d’un jour, mais compte tenu du passé de la compétition, cela ne posera pas de problème. Le montant total des prix s’élève à 105 000 euros US, qui proviennent tous des poches de HP, le principal sponsor de l’événement.
En outre, Google poursuivra le même programme que les années précédentes, en offrant 20 000 euros supplémentaires à toute personne trouvant dans Chrome une vulnérabilité qui brise la protection du bac à sable qui y est intégrée. L’année dernière, ce prix était de 15 000 euros et personne n’a encore réussi.
