À l’occasion de l’édition 2026 du Pwn2Own de Berlin, les hackers ont pu faire la découverte de 47 failles de sécurité zero-day au terme de trois jours de compétition. Au total, les récompenses s’élèvent à près de 1,3 million de dollars.

Une pluie de dollars….

Une nouvelle fois, ce célèbre concours de hacking a tenu ses promesses avec beaucoup de vulnérabilités découvertes et un montant global de 1 298 250 dollars distribué aux chercheurs en sécurité. C’est l’équipe DEVCORE qui s’est hissée au sommet du classement général, décrochant le titre de « Master of Pwn ». Cette équipe a cumulé 50,5 points et amassé la coquette somme de 505 000 dollars.

Sur les autres marches du podium de cette édition berlinoise, nous retrouvons :

• STARLabs SG : deuxième avec 25 points et 242 500 $ de gains.
• Out Of Bounds : troisième avec 12,75 points et 95 750 $.

Mais alors, quelles sont les vulnérabilités découvertes ? C’est ce que nous allons voir…

Et une pluie de failles zero-day

Les chercheurs ont pu rechercher des failles de sécurité dans divers produits et solutions, comme les plateformes de virtualisation, les systèmes d’exploitation, les logiciels collaboratifs, et même les assistants IA. Voici quelques-unes des vulnérabilités découvertes.

• VMware ESXi

Le chercheur Nguyen Hoang Thach de STARLabs SG a fait mal à l’hyperviseur phare de VMware. En exploitant une vulnérabilité de corruption de mémoire, couplée à l’objectif supplémentaire de pouvoir effectuer une exécution de code multi-locataires (“Cross-tenant Code Execution”), il a pu empocher 200 000 $.

• Microsoft SharePoint et Exchange

La solution SharePoint n’a pas résisté au chercheur splitline de l’équipe DEVCORE, qui a réussi à enchaîner deux vulnérabilités pour la compromettre, repartant avec 100 000 $. Il en va de même pour Microsoft Exchange puisque 3 vulnérabilités ont été exploitées ensemble pour parvenir à une exécution de code en tant que SYSTEM sur un serveur de messagerie (200 000 $).

• Les systèmes d’exploitation

Comme à chaque édition du Pwn2Own, Windows 11 s’est fait pirater plusieurs fois. On peut notamment citer l’équipe Viettel Cyber Security qui a exploité un dépassement d’entier pour obtenir une élévation de privilèges en local (récompense de 7 500 $).

De son côté, Hyunwoo Kim a compromis Red Hat Enterprise Linux for Workstations en combinant une faille use-after-free avec un défaut de mémoire non initialisée (5 000 $). Une autre vulnérabilité a également été découverte dans Red Hat Enterprise Linux for Workstations par Ben Koo (10 000 $).

• Les outils IA

Satoki Tsuji (Ikotas Labs) s’est attaqué avec succès à OpenAI Codex. En abusant d’un mécanisme de contrôle externe, il a généré un comportement inattendu provoquant le lancement de plusieurs instances de la calculatrice (preuve de l’exploitation). Une découverte récompensée par 20 000 $. L’équipe de chercheurs de chez OtterSec est également parvenue à identifier une faille permettant l’injection de code au sein de LM Studio (20 000 $). Par ailleurs, une faille de sécurité a permis la compromission de Cursor.

Quel avenir pour ces vulnérabilités ? Comme l’exigent les règles du Pwn2Own, les détails à propos de l’ensemble de ces failles de sécurité zero-day ont été communiqués de manière confidentielle aux éditeurs concernés (Microsoft, VMware, Red Hat, OpenAI…). Cela leur laisse le temps nécessaire pour développer et déployer des correctifs de sécurité avant que les détails techniques ne soient rendus publics.

Attendez-vous à devoir vous protéger de ces failles dans les semaines à venir. Pour consulter un récapitulatif de cette édition, consultez ces liens :

• Pwn2Own – Day 1
• Pwn2Own – Day 2
• Pwn2Own – Day 3