Le concours de hacking Pwn2Own Berlin 2026 est terminé. Des chercheurs en sécurité ont obtenu 1,298,250 dollars de récompenses après avoir exploité 47 failles zero-day.
La compétition s’est tenue lors de la conférence OffensiveCon, du 14 au 16 mai. Elle s’est concentrée sur les technologies d’entreprise et l’intelligence artificielle.
Les hackers ont attaqué des produits totalement mis à jour dans plusieurs catégories : navigateurs web, applications d’entreprise, élévation de privilèges locaux, serveurs, inference locale, environnements cloud-native/container, virtualisation et LLM.
Les concurrents ont remporté 523,000 dollars en récompenses le premier jour pour 24 zero-days uniques. Ils ont obtenu 385,750 dollars le deuxième jour après avoir exploité 15 zero-days. Le troisième jour de Pwn2Own, ils ont gagné 389,500 dollars pour huit autres failles.
DEVCORE a remporté l’édition 2026 de Pwn2Own Berlin avec 50,5 points Master of Pwn et 505,000 dollars de récompenses sur les trois jours. L’équipe a hacké Microsoft SharePoint, Microsoft Exchange, Microsoft Edge et Windows 11. STARLabs SG suit avec 242,500 dollars et 25 points. Out Of Bounds arrive ensuite avec 95,750 dollars et 12,75 points.
La récompense maximale du concours a été de 200,000 dollars. Elle a été attribuée à Cheng-Da Tsai, aussi connu comme Orange Tsai, de l’équipe de recherche DEVCORE. Il a chaîné trois bugs pour obtenir un exécution de code à distance avec les privilèges SYSTEM sur Microsoft Exchange.
Le premier jour, Orange Tsai a aussi gagné 175,000 dollars pour une évasion du sandbox de Microsoft Edge qui chaînait 4 bugs logiques. Windows 11 a été hacké trois fois. Valentina Palmiotti de IBM X-Force Offensive Research a collecté 70,000 dollars pour un rooting de Red Hat Linux for Workstations et un zero-day du NVIDIA Container Toolkit.
Le deuxième jour, les hackers ont montré une autre vulnérabilité d’élévation de privilèges locaux sur Windows 11, une élévation de privilèges root sur Red Hat Enterprise Linux for Workstations, et des zero-days dans plusieurs agents de codage IA.
Le troisième et dernier jour de la compétition, les concurrents ont hacké Windows 11 et Red Hat Enterprise Linux for Workstations à nouveau. Ils ont utilisé un bug de corruption mémoire pour exploiter VMware ESXi.
Après la fin de Pwn2Own, les fabricants ont 90 jours pour publier des patches de sécurité. L’initiative Zero Day Initiative de TrendMicro divulguera ensuite les failles publiquement.
Lors du concours Pwn2Own Berlin l’année dernière, qui a été remporté par l’équipe STAR Labs SG, ZDI a accordé 1,078,750 dollars pour 29 failles zero-day et quelques collisions de bugs.