**Microsoft** a décerné 2,3 millions de dollars à des chercheurs en sécurité après avoir reçu près de 700 soumissions lors du concours de piratage Zero Day Quest de cette année. ### Découverte de vulnérabilités à fort impact Selon **Tom Gallagher**, vice-président de l'ingénierie au **Microsoft** Security Response Center (**MSRC**), plus de 80 failles découvertes lors de l'événement en direct sur le campus de **Microsoft** à Redmond étaient des vulnérabilités critiques dans le cloud et l'IA. « Lors de l'événement de piratage en direct de 2026, **Microsoft** s'est associé à la communauté mondiale de recherche en sécurité, représentant plus de 20 pays et un large éventail d'expériences professionnelles, des lycéens aux professeurs d'université », a déclaré Gallagher. Les chercheurs ont effectué tous les tests dans des environnements autorisés conformément aux Règles d'engagement de **Microsoft**, démontrant un impact potentiel sans accéder aux données des clients ni à d'autres systèmes de locataires. Dans ces limites, les chercheurs ont identifié des chemins critiques impliquant l'exposition d'informations d'identification, des chaînes SSRF et l'accès inter-locataires. ### Augmentation du pool de prix et de la participation En août dernier, **Microsoft** a annoncé qu'il augmenterait le pool de prix du concours de piratage Zero Day Quest de cette année à 5 millions de dollars en récompenses, ce que l'entreprise a décrit comme le « plus grand événement de piratage de l'histoire ». Le Zero Day Quest 2025 a également généré une participation significative de la communauté de la sécurité, suite à l'offre de **Microsoft** de 4 millions de dollars en récompenses pour les vulnérabilités dans les produits et plateformes cloud et IA. Après la fin de la compétition de piratage, **Microsoft** a annoncé avoir versé 1,6 million de dollars en récompenses après avoir reçu plus de 600 soumissions de vulnérabilités. ### Secure Future Initiative (SFI) Le concours Zero Day Quest fait partie de la Secure Future Initiative (**SFI**) de **Microsoft**, un effort d'ingénierie de cybersécurité lancé en novembre 2023, suite à un rapport cinglant du Cyber Safety Review Board du Département de la Sécurité Intérieure des États-Unis qui a jugé la culture de sécurité de l'entreprise « inadéquate » et nécessitant « une refonte ». « Dans le cadre de notre Secure Future Initiative (SFI), nous partagerons de manière transparente les vulnérabilités critiques via le programme CVE, même si aucune action du client n'est requise », a déclaré Gallagher en août. « Les enseignements tirés du Zero Day Quest seront partagés au sein de **Microsoft** pour aider à améliorer la sécurité du cloud et de l'IA, conformément aux principes fondamentaux de SFI : sécurisé par défaut, par conception et dans les opérations. » Plus tôt ce mois-là, **Microsoft** a annoncé avoir versé un montant record de 17 millions de dollars à 344 chercheurs en sécurité dans 59 pays via son programme de bug bounty entre juillet 2024 et juin 2025. En décembre, il a également annoncé que les chercheurs en sécurité seraient rémunérés pour la découverte de vulnérabilités critiques dans les services en ligne de **Microsoft**, même si un tiers avait écrit le code vulnérable.