Le site Pirate-Moi.com avait organisé son premier concours de hacking en l'ouvrant le 1er janvier à minuit. Cinq heures plus tard, le concours était remporté par un hacker de 18 ans.

Expert de la société Securi-Toile, Eric Seguinard a monté sur le site Pirate-Moi.com un concours de découvertes de failles de sécurité. Le but est de tester la sécurité des applications dont le nom n’est révélé qu’au dernier moment. Le premier concours a été ouvert le 1er janvier 2011 à minuit, c’est-à-dire en plein réveillon du nouvel an… ce qui n’a pas empêché un hacker de 18 ans de le remporter. Sur les 400 participants pré-inscrits, 50 s’étaient connectés dans la nuit pour commencer le concours.

La première application testée était la version 2.1.5 de SPIP, l’une des plateformes les plus utilisées pour la création de sites internet. Elle était sortie le 22 décembre 2010. « Pour trouver la faille, le gagnant du concours s’est appuyé sur une analyse du code source de l’application, celui-ci étant en opensource. Une fois son angle d’attaque identifié, celui-ci a lancé son attaque sur l’application en ligne et a remporté le concours après vérification de la part des organisateurs« , rapporte Jean-François Audenard sur le blog d’Orange.

La faille permettait à un utilisateur du site inscrit en tant que simple « rédacteur » d’accéder à des actions normalement réservées aux administrateurs, qui permettaient de modifier l’apparence du site. Deux failles ont ainsi été découvertes, et corrigées dans la version 2.1.6 publiée seulement 24 heures après qu’Eric Seguinard les a fait remontées aux responsables de SPIP.

Un deuxième concours sera organisé le 5 février prochain, autour d’une plateforme e-commerce, mais le départ sera fixé à 9 heures du matin. Pour ne pas donner l’avantage aux hackers insomniaques, et encourager un maximum de participation.

Partager sur les réseaux sociaux

Articles liés