Pwn2Own Berlin 2026 (14-16 mai, OffensiveCon) : 47 zero-days exploités, 1 298 250 dollars distribués. DEVCORE remporte le Master of Pwn avec 505 000 $ en compromettant SharePoint, Exchange, Edge et Windows. Première édition avec une catégorie LLM/IA.
TL;DR — En résumé
Pwn2Own Berlin 2026 : 47 zero-days, 1,3 M$ de primes. DEVCORE vainqueur (505 000 $). Windows, Exchange, SharePoint, VMware ESXi et LiteLLM compromis. Analyse des résultats.
En bref
- Pwn2Own Berlin 2026 (14-16 mai, OffensiveCon) : 47 zero-days exploités, 1 298 250 dollars de primes distribuées
- Windows, Microsoft Exchange, SharePoint, Edge, VMware ESXi et LiteLLM compromis — première édition avec une catégorie IA/LLM
- DEVCORE remporte le titre Master of Pwn avec 505 000 $ et 50,5 points devant STARLabs SG et Out Of Bounds
Les faits
La compétition Pwn2Own Berlin 2026, organisée par le Zero Day Initiative (ZDI) de Trend Micro dans le cadre de l'OffensiveCon, s'est tenue du 14 au 16 mai 2026. Au terme de trois jours intenses, les équipes participantes ont démontré l'exploitation de 47 vulnérabilités zero-day inédites dans des produits entièrement à jour et non modifiés, repartant avec un total de 1 298 250 dollars en primes. La répartition des gains par journée illustre la densité des démonstrations. Le premier jour a été le plus prolifique : 523 000 dollars distribués pour 24 zero-days exploités avec succès. Le deuxième jour a généré 385 750 dollars pour 15 démonstrations. Le troisième et dernier jour a conclu avec 389 500 dollars pour 8 exploits supplémentaires. L'équipe DEVCORE a dominé l'ensemble de la compétition, remportant le titre de Master of Pwn avec 50,5 points et 505 000 dollars de gains cumulés. Le chercheur splitline de DEVCORE a notamment compromis Microsoft SharePoint en chaînant deux vulnérabilités distinctes, une démonstration qui a valu 100 000 dollars et 10 points Master of Pwn. DEVCORE a également compromis Microsoft Exchange, Microsoft Edge et Windows lors de cette édition — un palmarès impressionnant qui témoigne d'une profondeur de recherche offensive transversale sur l'écosystème Microsoft. STARLabs SG a terminé en deuxième position avec 25 points et 242 500 dollars, tandis que Out Of Bounds complète le podium avec 12,75 points et 95 750 dollars. La compétitivité du classement reflète le niveau d'excellence technique exigé dans ce type de compétition, où tous les produits ciblés sont entièrement patchés avec les dernières mises à jour de sécurité disponibles au moment des démonstrations. Parmi les exploits les plus spectaculaires, une démonstration de compromission de VMware ESXi via une vulnérabilité de corruption mémoire assortie du module Cross-Tenant Code Execution a rapporté 200 000 dollars — la prime individuelle la plus élevée de l'édition. La virtualisation reste un vecteur critique dans les environnements cloud et les datacenters : une faille dans l'hyperviseur peut compromettre l'ensemble des machines virtuelles hébergées sur le même hôte, indépendamment de leur isolation logique. Cette édition 2026 de Pwn2Own Berlin est historique à un titre particulier : c'est la première édition à intégrer une catégorie dédiée aux modèles de langage (LLM) et aux outils d'IA. LiteLLM, un proxy d'API multi-modèles largement adopté en entreprise pour unifier l'accès à plusieurs fournisseurs LLM (OpenAI, Anthropic, Azure), a été compromis dans cette nouvelle catégorie. L'inclusion de cette cible envoie un signal fort à l'industrie : les composants IA constituent désormais une surface d'attaque à part entière, qui doit être auditée et sécurisée avec le même sérieux que les composants applicatifs traditionnels. Les organisations qui déploient des proxies LLM sans audit de sécurité préalable exposent potentiellement leurs pipelines de données et leurs clés API à des risques insuffisamment évalués. Un incident notable a marqué cette édition : la compétition ayant atteint sa capacité maximale de participants, plusieurs chercheurs inscrits ont été refusés faute de place. En réponse, certains de ces chercheurs ont choisi de publier publiquement leurs zero-days, privant ainsi les éditeurs concernés du délai de correction normalement garanti par le processus de divulgation coordonnée du ZDI. Cet épisode illustre les tensions inhérentes à l'écosystème de la recherche offensive lorsque les canaux de divulgation coordonnée sont perçus comme insuffisamment accessibles. Rappelons le processus post-compétition standard : après Pwn2Own, le ZDI notifie les éditeurs concernés qui disposent généralement de 90 jours pour développer et déployer des correctifs avant publication publique des détails techniques. Les 47 zero-days exploités à Berlin 2026 seront donc progressivement transformés en CVEs avec patches dans les prochains mois — à l'exception de ceux déjà publiés par les chercheurs refusés. Les organisations utilisant les produits ciblés doivent surveiller attentivement les prochains cycles de correctifs Microsoft, VMware et autres éditeurs concernés.Impact et exposition
Les produits compromis lors de Pwn2Own Berlin 2026 sont des solutions utilisées massivement dans les entreprises mondiales : Windows, Microsoft Exchange, SharePoint, Edge, VMware ESXi, et désormais LiteLLM. Les zero-days démontrés ne sont pas encore publics dans leur détail technique — à l'exception de ceux divulgués unilatéralement — et leur exploitation à grande échelle n'a pas été observée à date. Mais leur existence est confirmée par une compétition dont les règles exigent des démonstrations fonctionnelles sur des cibles entièrement patchées. Les patches correspondants arriveront dans les prochains mois et devront être déployés rapidement dès leur disponibilité.Recommandations
- Surveiller les advisory de sécurité Microsoft et VMware pour les prochains correctifs issus de Pwn2Own Berlin 2026 — activer les alertes de sécurité des éditeurs concernés
- Inventorier les déploiements LiteLLM et autres proxies LLM dans votre SI — ces composants doivent intégrer votre périmètre de gestion des patches et de surveillance de sécurité
- Appliquer le principe de moindre privilège sur VMware ESXi et segmenter les accès inter-VMs pour limiter l'impact d'une exploitation Cross-Tenant
- Surveiller le blog du ZDI (Zero Day Initiative) qui publie des analyses techniques détaillées des vulnérabilités après coordination avec les éditeurs
Les zero-days exploités à Pwn2Own Berlin 2026 sont-ils déjà utilisés dans des attaques réelles ?
Les zero-days présentés lors de Pwn2Own font l'objet d'une divulgation coordonnée via le ZDI : les éditeurs sont notifiés et disposent généralement de 90 jours pour déployer des correctifs avant publication des détails techniques. Ils ne sont pas encore publics dans leur détail exploitable — à l'exception de ceux publiés directement par des chercheurs refusés à la compétition faute de places. Aucune exploitation à grande échelle n'a été observée à date pour les vulnérabilités Berlin 2026. Surveillez les CVEs publiées par Microsoft, VMware et les autres éditeurs concernés dans les prochains mois pour déployer les patches rapidement dès leur disponibilité.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
[email protected]
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
Google perd 4,1 Md€ : la CJUE confirme l'amende Android
Le 2 juillet 2026, la Cour de Justice de l'UE a définitivement confirmé l'amende de 4,1 milliards d'euros infligée à Google pour abus de position dominante via Android, clôturant 8 ans de procédure sans aucune possibilité d'appel.
GLM-5.2 : Zhipu AI rivalise avec Claude au sixième du prix
Zhipu AI publie GLM-5.2, un modèle open source de 753 milliards de paramètres sous licence MIT rivalisant avec Claude Opus 4.8 et GPT-5.5 sur les benchmarks de code, à seulement 1,40 dollar par million de tokens en entrée.
Januscape : évasion de VM dans Linux KVM depuis 16 ans
CVE-2026-53359 Januscape est une vulnérabilité use-after-free vieille de 16 ans dans Linux KVM permettant l'évasion d'une VM vers l'hôte sur Intel et AMD. Un PoC public est disponible depuis le 7 juillet 2026.
Un projet cybersécurité ? Parlons-en.
Pentest, conformité NIS 2, ISO 27001, audit IA, RSSI externalisé… nos experts répondent sous 24h pour évaluer votre besoin et vous proposer un accompagnement sur mesure.
Commentaires (1)
Laisser un commentaire