Microsoft a récompensé les chercheurs en sécurité avec une somme de 2,3 millions de dollars après avoir reçu près de 700 propositions durant le concours de hacking Zero Day Quest de cette année.
Selon Tom Gallagher, Vice-Président de l’Engineering at Microsoft Security Response Center (MSRC), plus de 80 vulnérabilités identifiées lors de cet événement en direct sur le campus de Redmond avaient un impact significatif sur la sécurité cloud et de l’IA.
Gallagher a précisé que, lors de cette compétition de hacking de 2026, Microsoft s’est associé à la communauté mondiale de recherche en sécurité, rassemblant plus de 20 pays et un éventail varié de professionnels, allant d’élèves de lycée à des professeurs d’université.
Les chercheurs ont effectué leurs tests dans des environnements autorisés selon les Rules of Engagement de Microsoft, montrant l’impact potentiel sans accéder aux données clients ou à d’autres systèmes. Dans ces limites, ils ont détecté des chemins critiques impliquant l’exposition des identifiants, des chaînes SSRF et un accès inter-locataire.
En août, Microsoft avait annoncé un accroissement de la cagnotte pour le concours de cette année, atteignant 5 millions de dollars, le qualifiant d’événement de hacking le plus important jamais organisé.
Le concours de 2025 avait également connu une forte participation de la communauté de la sécurité, grâce à une offre de 4 millions de dollars en récompenses pour des vulnérabilités sur ses produits et plateformes cloud et IA.
À la fin du concours de hacking, Microsoft a déclaré avoir alloué 1,6 million de dollars en récompenses après avoir reçu plus de 600 propositions de vulnérabilités.
Le concours Zero Day Quest s’inscrit dans l’Initiative Secure Future de Microsoft, une initiative d’ingénierie en cybersécurité lancée en novembre 2023. Cette initiative fait suite à un rapport critique du Cyber Safety Review Board du Département de la Sécurité intérieure des États-Unis, qui avait jugé la culture de sécurité de l’entreprise « inacceptable » et nécessitant une réforme.
Gallagher a ajouté qu’en tant que partie de l’Initiative Secure Future, Microsoft partagerait de manière transparente des vulnérabilités essentielles à travers le programme CVE, même si aucune action n’est requise de la part des clients. Les enseignements tirés du Zero Day Quest seront partagés au sein de Microsoft pour améliorer la sécurité cloud et IA, conformément aux principes de l’initiative : sécuriser par défaut, par conception et en opérations.
Plus tôt dans le mois d’août, Microsoft a également annoncé avoir versé un montant record de 17 millions de dollars à 344 chercheurs en sécurité dans 59 pays via son programme de primes pour les bugs, entre juillet 2024 et juin 2025.
En décembre, l’entreprise a également annoncé que les chercheurs en sécurité seraient rémunérés pour la détection de vulnérabilités critiques dans n’importe quel service en ligne de Microsoft, même si le code vulnérable a été écrit par un tiers.