Pwn2Own Berlin 2026 : 47 zero-days et 1,3 M$ de primes

Les faits

La compétition Pwn2Own Berlin 2026, organisée par le Zero Day Initiative (ZDI) de Trend Micro dans le cadre de l'OffensiveCon, s'est tenue du 14 au 16 mai 2026. Au terme de trois jours intenses, les équipes participantes ont démontré l'exploitation de 47 vulnérabilités zero-day inédites dans des produits entièrement à jour et non modifiés, repartant avec un total de 1 298 250 dollars en primes. La répartition des gains par journée illustre la densité des démonstrations. Le premier jour a été le plus prolifique : 523 000 dollars distribués pour 24 zero-days exploités avec succès. Le deuxième jour a généré 385 750 dollars pour 15 démonstrations. Le troisième et dernier jour a conclu avec 389 500 dollars pour 8 exploits supplémentaires. L'équipe DEVCORE a dominé l'ensemble de la compétition, remportant le titre de Master of Pwn avec 50,5 points et 505 000 dollars de gains cumulés. Le chercheur splitline de DEVCORE a notamment compromis Microsoft SharePoint en chaînant deux vulnérabilités distinctes, une démonstration qui a valu 100 000 dollars et 10 points Master of Pwn. DEVCORE a également compromis Microsoft Exchange, Microsoft Edge et Windows lors de cette édition — un palmarès impressionnant qui témoigne d'une profondeur de recherche offensive transversale sur l'écosystème Microsoft. STARLabs SG a terminé en deuxième position avec 25 points et 242 500 dollars, tandis que Out Of Bounds complète le podium avec 12,75 points et 95 750 dollars. La compétitivité du classement reflète le niveau d'excellence technique exigé dans ce type de compétition, où tous les produits ciblés sont entièrement patchés avec les dernières mises à jour de sécurité disponibles au moment des démonstrations. Parmi les exploits les plus spectaculaires, une démonstration de compromission de VMware ESXi via une vulnérabilité de corruption mémoire assortie du module Cross-Tenant Code Execution a rapporté 200 000 dollars — la prime individuelle la plus élevée de l'édition. La virtualisation reste un vecteur critique dans les environnements cloud et les datacenters : une faille dans l'hyperviseur peut compromettre l'ensemble des machines virtuelles hébergées sur le même hôte, indépendamment de leur isolation logique. Cette édition 2026 de Pwn2Own Berlin est historique à un titre particulier : c'est la première édition à intégrer une catégorie dédiée aux modèles de langage (LLM) et aux outils d'IA. LiteLLM, un proxy d'API multi-modèles largement adopté en entreprise pour unifier l'accès à plusieurs fournisseurs LLM (OpenAI, Anthropic, Azure), a été compromis dans cette nouvelle catégorie. L'inclusion de cette cible envoie un signal fort à l'industrie : les composants IA constituent désormais une surface d'attaque à part entière, qui doit être auditée et sécurisée avec le même sérieux que les composants applicatifs traditionnels. Les organisations qui déploient des proxies LLM sans audit de sécurité préalable exposent potentiellement leurs pipelines de données et leurs clés API à des risques insuffisamment évalués. Un incident notable a marqué cette édition : la compétition ayant atteint sa capacité maximale de participants, plusieurs chercheurs inscrits ont été refusés faute de place. En réponse, certains de ces chercheurs ont choisi de publier publiquement leurs zero-days, privant ainsi les éditeurs concernés du délai de correction normalement garanti par le processus de divulgation coordonnée du ZDI. Cet épisode illustre les tensions inhérentes à l'écosystème de la recherche offensive lorsque les canaux de divulgation coordonnée sont perçus comme insuffisamment accessibles. Rappelons le processus post-compétition standard : après Pwn2Own, le ZDI notifie les éditeurs concernés qui disposent généralement de 90 jours pour développer et déployer des correctifs avant publication publique des détails techniques. Les 47 zero-days exploités à Berlin 2026 seront donc progressivement transformés en CVEs avec patches dans les prochains mois — à l'exception de ceux déjà publiés par les chercheurs refusés. Les organisations utilisant les produits ciblés doivent surveiller attentivement les prochains cycles de correctifs Microsoft, VMware et autres éditeurs concernés.

Impact et exposition

Les produits compromis lors de Pwn2Own Berlin 2026 sont des solutions utilisées massivement dans les entreprises mondiales : Windows, Microsoft Exchange, SharePoint, Edge, VMware ESXi, et désormais LiteLLM. Les zero-days démontrés ne sont pas encore publics dans leur détail technique — à l'exception de ceux divulgués unilatéralement — et leur exploitation à grande échelle n'a pas été observée à date. Mais leur existence est confirmée par une compétition dont les règles exigent des démonstrations fonctionnelles sur des cibles entièrement patchées. Les patches correspondants arriveront dans les prochains mois et devront être déployés rapidement dès leur disponibilité.

Recommandations

• Surveiller les advisory de sécurité Microsoft et VMware pour les prochains correctifs issus de Pwn2Own Berlin 2026 — activer les alertes de sécurité des éditeurs concernés
• Inventorier les déploiements LiteLLM et autres proxies LLM dans votre SI — ces composants doivent intégrer votre périmètre de gestion des patches et de surveillance de sécurité
• Appliquer le principe de moindre privilège sur VMware ESXi et segmenter les accès inter-VMs pour limiter l'impact d'une exploitation Cross-Tenant
• Surveiller le blog du ZDI (Zero Day Initiative) qui publie des analyses techniques détaillées des vulnérabilités après coordination avec les éditeurs