En bref

  • Pwn2Own Berlin 2026 s'est achevé le 16 mai avec 47 failles zero-day démontrées sur des produits entièrement patchés, pour un total de 1 298 250 dollars distribués aux chercheurs.
  • L'équipe taïwanaise DEVCORE a remporté le titre de « Master of Pwn » grâce notamment à un exploit Microsoft Exchange chaînant trois vulnérabilités pour obtenir des privilèges SYSTEM, récompensé 200 000 dollars.
  • Les équipes de sécurité opérant Exchange, SharePoint, Edge et Windows 11 doivent anticiper des patches Microsoft dans les 90 jours et renforcer leur surveillance dès maintenant.

Trois jours de hacking offensif au cœur de Berlin

La compétition Pwn2Own Berlin 2026 s'est tenue du 14 au 16 mai dans le cadre de la conférence OffensiveCon, l'une des principales réunions mondiales dédiées à la sécurité offensive. Organisé par le Trend Micro Zero Day Initiative (ZDI), le concours réunit chaque année les meilleurs chercheurs indépendants et les équipes de sécurité des grandes entreprises pour tester, dans un cadre contrôlé et légal, des systèmes entièrement à jour face aux techniques d'exploitation les plus avancées. En soixante-douze heures, les participants ont dévoilé 47 vulnérabilités inédites — des failles zero-day inconnues des éditeurs au moment de leur exploitation — pour un montant total de 1 298 250 dollars, établissant un nouveau record pour cet événement tenu à Berlin depuis plusieurs éditions.

La première journée, la plus prolifique financièrement, a vu 523 000 dollars distribués pour 24 démonstrations réussies. Windows 11, Microsoft Edge et plusieurs produits d'intelligence artificielle figuraient parmi les premières victimes. La catégorie LLM (Large Language Models), introduite dans les éditions précédentes pour répondre à l'explosion du déploiement des modèles en production, a connu ses premières exploitations confirmées de l'édition : des équipes ont démontré des vecteurs d'injection de prompts couplés à des failles côté serveur permettant d'atteindre l'exécution de code arbitraire. Ces démonstrations illustrent l'émergence d'une nouvelle classe de menaces hybrides, à la jonction entre la sécurité applicative traditionnelle et les comportements spécifiques aux modèles de langage.

La deuxième journée a ajouté 385 750 dollars pour 15 nouvelles failles, portant le total intermédiaire au-delà de 900 000 dollars. L'événement le plus marquant — et probablement de toute la compétition — a été l'exploitation de Microsoft Exchange par Cheng-Da Tsai, alias Orange Tsai, chercheur vedette de l'équipe DEVCORE Research Team. Tsai a enchaîné trois vulnérabilités distinctes pour obtenir une exécution de code distante (RCE) avec les privilèges SYSTEM sur un serveur Exchange entièrement patché, c'est-à-dire intégrant le Patch Tuesday de mai 2026. La prime accordée pour cette seule démonstration s'est élevée à 200 000 dollars, le montant individuel le plus élevé de toute la compétition. Orange Tsai est notamment l'auteur de recherches fondatrices sur les vulnérabilités Exchange (séries ProxyLogon, ProxyShell) qui avaient conduit à la compromission de centaines de milliers de serveurs dans le monde en 2021. Son retour sur Exchange en 2026 avec une nouvelle chaîne de bugs inédite illustre la persistance structurelle des risques sur ce produit.

Toujours lors de cette deuxième journée, Red Hat Enterprise Linux for Workstations et Microsoft Exchange ont été compromis par des équipes supplémentaires, démontrant que plusieurs groupes avaient découvert de manière indépendante des chemins d'attaque distincts sur ces mêmes produits. Ce phénomène de collision de découvertes — lorsque plusieurs chercheurs trouvent une faille similaire indépendamment — indique généralement que la surface d'attaque est accessible à tout acteur malveillant suffisamment motivé.

La troisième et dernière journée a rapporté 389 500 dollars supplémentaires pour 8 nouvelles démonstrations. L'exploitation de Microsoft SharePoint par splitline, un autre membre de l'équipe DEVCORE, via une chaîne de deux bugs, a rapporté 100 000 dollars. SharePoint avait déjà fait l'objet d'une exploitation active en dehors du concours avec la vulnérabilité CVE-2026-32201 (RCE sans authentification sur les serveurs on-premises). À l'issue des trois journées, DEVCORE s'est imposée avec 50,5 points Master of Pwn et 505 000 dollars cumulés. STARLabs SG (Singapour) s'est classé deuxième avec 25 points et 242 500 dollars ; Out Of Bounds troisième avec 12,75 points et 95 750 dollars.

Un incident notable a accompagné cette édition : la compétition ayant atteint sa capacité maximale d'inscription, plusieurs équipes refusées ont choisi de divulguer publiquement leurs zero-days sans passer par le processus coordonné du ZDI. Selon HackRead, ces divulgations sauvages concerneraient plusieurs produits initialement ciblés, représentant un risque immédiat pour les organisations concernées, sans délai de grâce ni engagement de confidentialité envers les éditeurs.

Selon les règles standard du ZDI, toutes les failles démontrées lors du concours font l'objet d'une divulgation privée aux éditeurs dès la fin de la compétition. Ces derniers disposent de 90 jours pour publier des correctifs avant que les détails techniques soient rendus publics. Microsoft, qui concentre la grande majorité des cibles de cette édition — Exchange, SharePoint, Edge, Windows 11 — devrait donc publier des patches lors de ses Patch Tuesday de juin et juillet 2026. Les équipes de sécurité sont invitées à suivre les bulletins du Microsoft Security Response Center (MSRC) et du CERT-FR pour appliquer ces correctifs en priorité.

Il convient également de souligner que plusieurs participants ont déclaré avoir utilisé des outils d'IA générative pour accélérer leurs phases de découverte et d'analyse de code. L'utilisation de LLMs pour automatiser le fuzzing, l'analyse de binaires et la génération de preuves de concept (PoC) réduit sensiblement le temps nécessaire pour transformer une hypothèse de vulnérabilité en exploit fonctionnel. Cela signifie que la fenêtre entre la divulgation d'une faille et sa weaponisation par des acteurs malveillants pourrait se rétrécir davantage dans les mois à venir, rendant la réactivité des équipes de patch management plus critique que jamais.

Des implications majeures pour la sécurité des infrastructures d'entreprise

Les résultats de Pwn2Own ne sont pas de simples exercices académiques. Ils représentent un signal d'alarme concret pour les équipes défensives. Historiquement, les vulnérabilités découvertes lors du concours finissent dans les mains d'acteurs malveillants, parfois avant même la publication des correctifs officiels. L'édition 2026 est particulièrement préoccupante car elle cible trois des piliers les plus répandus de l'infrastructure Microsoft : Exchange (messagerie), SharePoint (collaboration) et Windows 11 (poste de travail). Une compromission sur l'un de ces vecteurs offre généralement un accès direct à Active Directory et, par extension, à l'ensemble du domaine.

La démonstration d'une chaîne de trois bugs menant à SYSTEM sur Exchange rappelle des précédents graves. En mars 2021, l'exploitation de ProxyLogon (CVE-2021-26855 et associés) avait compromis plus de 250 000 serveurs Exchange en quelques jours, permettant à des dizaines de groupes APT d'implanter des webshells avant la publication des patches d'urgence. En août 2021, ProxyShell (CVE-2021-34473, CVE-2021-34523 et CVE-2021-31207) avait déclenché une nouvelle vague d'exploitation massive. La pattern se répète : Exchange, par sa complexité et son intégration profonde avec les services d'annuaire, reste une cible de choix pour les groupes APT et les opérateurs de ransomware.

La présence d'une catégorie LLM dans le concours marque un tournant pour l'industrie de la sécurité. Les modèles d'IA déployés en production — pour la génération de code, l'analyse documentaire ou les assistants métier — présentent des surfaces d'attaque nouvelles que les outils classiques de gestion des vulnérabilités ne permettent pas encore de modéliser. Les vecteurs d'injection de prompts combinés à des failles d'exécution côté hôte constituent une classe hybride de menaces difficile à détecter par les solutions EDR et SIEM traditionnelles.

L'épisode des chercheurs refusés qui ont publié leurs failles en dehors du cadre coordonné soulève une question éthique et juridique importante. Si ces divulgations concernent des produits largement déployés, le délai entre la publication et l'exploitation par des acteurs malveillants pourrait se mesurer en heures. La communauté sécurité attend de voir si Microsoft activera ses programmes de bug bounty pour couvrir ces cas ou si des poursuites judiciaires seront envisagées. Dans l'intervalle, les organisations doivent considérer que des failles inconnues existent potentiellement dans leurs versions actuelles d'Exchange et de SharePoint.

Ce qu'il faut retenir

  • 47 zero-days démontrés en 3 jours à Pwn2Own Berlin 2026 (14-16 mai) pour un record de 1 298 250 dollars — Microsoft Exchange, SharePoint, Edge et Windows 11 sont les cibles principales.
  • DEVCORE remporte le Master of Pwn avec 505 000 dollars, grâce notamment à Orange Tsai qui enchaîne 3 bugs Exchange pour atteindre SYSTEM et empocher 200 000 dollars.
  • Patches Microsoft attendus d'ici mi-août 2026 — surveillez le MSRC et les bulletins CERT-FR, et renforcez la surveillance de vos serveurs Exchange et SharePoint dès maintenant.

Quand Microsoft publiera-t-il les correctifs pour les failles découvertes à Pwn2Own Berlin 2026 ?

Selon les règles du Trend Micro Zero Day Initiative, Microsoft dispose de 90 jours à compter de la fin de la compétition (16 mai 2026) pour publier des patches, soit une échéance au 14 août 2026. En pratique, ces correctifs seront probablement intégrés dans les Patch Tuesday de juin et juillet 2026. Il est recommandé de surveiller le Microsoft Security Response Center (MSRC) et de configurer des alertes CERT-FR pour être notifié dès leur disponibilité.

Besoin d'un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.

Prendre contact