ConnexionPwn2Own Dublin 2025 : Synology et QNAP mis à l’épreuve
Chaque année, Pwn2Own rassemble la communauté d’expert en cybersécurité autour de la découverte de vulnérabilités critiques dans des appareils et logiciels du quotidien. Du 21 au 23 octobre dernier, l’édition irlandaise de Pwn2Own à Dublin a réuni des experts et hackers éthiques pour tester la sécurité de nombreux équipements : NAS, routeurs, caméras IP, imprimantes, smartphones… utilisés par les entreprises et les particuliers. Les principaux sponsors de cette édition étaient Meta, Synology et QNAP. Nous ne reviendrons pas sur l’ensemble des failles découvertes (elles sont nombreuses), mais nous allons nous concentrer sur celles touchant Synology et QNAP.
Qu’est-ce que le Pwn2Own ?
Pwn2Own est une compétition internationale de cybersécurité créée par la Zero Day Initiative (ZDI), un programme de recherche en sécurité géré par Trend Micro. Son objectif, c’est d’encourager les chercheurs en sécurité à identifier et exploiter des vulnérabilités dans des logiciels, systèmes d’exploitation ou matériels populaires. Les fabricants fournissent eux-mêmes les appareils à tester, afin de les soumettre à des attaques contrôlées et sécurisées. Les participants tentent de découvrir des failles “zero-day”, c’est-à-dire non documentées et non corrigées. À la clé, des récompenses financières plutôt conséquentes, proportionnelles à la gravité et à l’impact des failles découvertes. Pour cette édition, la cagnotte globale s’élevait à 2 millions de dollars.
Synology
Dès les premières heures, plusieurs produits Synology ont été compromis :
- BeeStation Plus : débordement de pile permettant un accès root — gain de 40 000 $
- DS925+ : exploitation de deux bugs combinés pour obtenir une exécution de code arbitraire — gain de 40 000 $
- DP320 : là encore, deux bugs exploités conjointement — gain de 50 000 $
- Caméra IP CC400W : faille déjà connue du fabricant (non corrigée et non documentée à ce jour) — gain de 30 000 $
- DS925+ (nouvelle attaque) : exploitation de deux bugs pour contourner l’authentification et exécuter du code en tant que root — gain de 40 000 $
- BeeStation Plus (hors scope) : vulnérabilité découverte mais non récompensée, car en dehors du périmètre de la compétition.
QNAP
Les appareils QNAP ont eux aussi été la cible de plusieurs exploits notables au cours de la compétition.
- Une équipe est parvenue à compromettre les QHora-322 et TS-453E grâce à la combinaison de huit vulnérabilités, incluant plusieurs injections — gain de 100 000 $.
- Une autre équipe a exploité sur le TS-453E un enchaînement d’injections multiples et un bug de chaîne de format, permettant une exécution de code — gain de 40 000 $.
- Une faille d’injection de code unique a ensuite permis à des chercheurs de prendre le contrôle du TS-453E — gain de 40 000 $.
- Enfin, une autre vulnérabilité, liée à un identifiant codé en dur combiné à une injection, a conduit à une nouvelle compromission du TS-453E — gain de 40 000 $.
Autres fabricants concernés
D’autres marques ont également vu leurs produits compromis :
- Canon et Lexmark (imprimantes)
- Philips Hue (lampes connectées)
- Sonos (enceintes connectées)
- Samsung (smartphones Galaxy)
- Ubiquiti (systèmes de surveillance AI Pro)
En synthèse
L’édition 2025 de Pwn2Own Dublin a une nouvelle fois démontré la richesse et la pertinence de ce type d’événement pour l’industrie. Il faut saluer les constructeurs qui acceptent d’exposer leurs produits à ce niveau de test (et donc de risque financier). Le fait que QNAP et Synology soient co-sponsors, aux côtés de Meta, illustre clairement leur engagement en faveur de la cybersécurité et leur volonté d’adopter une démarche proactive dans la protection de leurs utilisateurs.
