## Pwn2Own Berlin 2026 : Faits marquants du Jour 1 La compétition **Pwn2Own Berlin 2026** a débuté avec une activité intense, les chercheurs en sécurité démontrant leurs compétences en exploitant un large éventail de cibles logicielles et matérielles. L'événement, axé sur les technologies d'entreprise et l'intelligence artificielle, se déroule lors de la conférence OffensiveCon du 14 au 16 mai. ## L'évasion du Sandbox d'Edge remporte le premier prix **Orange Tsai** s'est distingué en remportant 175 000 $ pour avoir enchaîné quatre bugs logiques afin de réaliser une évasion de sandbox sur **Microsoft Edge**. Cet exploit impressionnant souligne la complexité et l'impact potentiel des vulnérabilités en chaîne. > <a href="https://bsky.app/profile/thezdi.bsky.social/post/3mlslrhjrvc2s">Voir sur BlueSky</a> ## Windows 11 sous le feu **Windows 11** a été ciblé avec succès à trois reprises par différentes équipes : * **Angelboy** et **TwinkleStar03** (travaillant avec le **DEVCORE** Internship Program) * **Marcin Wiązowski** * **Kentaro Kawane** de **GMO Cybersecurity** Chaque équipe a remporté 30 000 $ pour avoir démontré de nouvelles vulnérabilités zero-day d'escalade de privilèges sur le système d'exploitation. > <a href="https://bsky.app/profile/thezdi.bsky.social/post/3mlsterlyhk2d">Voir sur BlueSky</a> > <a href="https://bsky.app/profile/thezdi.bsky.social/post/3mlsyezpkyc2m">Voir sur BlueSky</a> > <a href="https://bsky.app/profile/thezdi.bsky.social/post/3mltgpmo7ac2p">Voir sur BlueSky</a> ## Exploits Linux et Conteneurs **Valentina Palmiotti** (chompie) d'**IBM X-Force Offensive Research (XOR)** a eu une journée fructueuse, collectant 20 000 $ pour avoir compromis **Red Hat Linux for Workstations** et 50 000 $ supplémentaires pour une vulnérabilité zero-day dans le **NVIDIA Container Toolkit**. > <a href="https://bsky.app/profile/thezdi.bsky.social/post/3mltebpvjlc2p">Voir sur BlueSky</a> > <a href="http://bsky.app/profile/thezdi.bsky.social/post/3mlsm3vbvks2s">Voir sur BlueSky</a> ## Vulnérabilités des plateformes IA/ML découvertes Plusieurs vulnérabilités ont été découvertes dans les plateformes d'intelligence artificielle et d'apprentissage automatique, notamment : * **k3vg3n** : A mis hors service **LiteLLM** (40 000 $) en enchaînant 3 bugs. * **Satoki Tsuji** et **haehae** : Ont exploité des vulnérabilités zero-day dans **NVIDIA Megatron Bridge** (20 000 $). * **Compass Security** et **maitai** de **Doyensec** : Ont piraté l'agent de codage **OpenAI's Codex** (chacun remportant 40 000 $). * **haehae** : A découvert une vulnérabilité zero-day dans **Chroma** (20 000 $). * **STARLabs SG** : A trouvé une vulnérabilité zero-day dans **LM Studio** (40 000 $). > <a href="https://bsky.app/profile/thezdi.bsky.social/post/3mlso3j67ns2s">Voir sur BlueSky</a> > <a href="http://bsky.app/profile/thezdi.bsky.social/post/3mlsottlmak2s">Voir sur BlueSky</a> > <a href="https://bsky.app/profile/thezdi.bsky.social/post/3mltcik6cvs2w">Voir sur BlueSky</a> > <a href="https://bsky.app/profile/thezdi.bsky.social/post/3mlst4byglc2d">Voir sur BlueSky</a> > <a href="https://bsky.app/profile/thezdi.bsky.social/post/3mlswuldquc2m">Voir sur BlueSky</a> > <a href="https://bsky.app/profile/thezdi.bsky.social/post/3mlt5kuba622z">Voir sur BlueSky</a> > <a href="https://bsky.app/profile/thezdi.bsky.social/post/3mltheam2ps2p">Voir sur BlueSky</a> ## Classement Actuellement, l'équipe **DEVCORE Research Team** mène la compétition avec 205 000 $, suivie par **Valentina Palmiotti** avec 70 000 $. ## Cibles du deuxième jour Le deuxième jour, les concurrents cibleront des vulnérabilités zero-day dans **Microsoft SharePoint**, **Microsoft Exchange**, **Windows 11**, **Apple Safari**, **Cursor**, **Red Hat Enterprise Linux for Workstations**, **LM Studio**, **OpenAI Codex**, **LiteLLM**, **Anthropic Claude Code** et **Mozilla Firefox**. ## Règles et Impact de Pwn2Own Les chercheurs ciblant des produits entièrement patchés dans diverses catégories peuvent gagner plus de 1 000 000 $ en espèces et prix. Tous les appareils ciblés exécutent les dernières versions des systèmes d'exploitation, et les soumissions doivent compromettre la cible et démontrer l'exécution de code arbitraire. Les fournisseurs disposent de 90 jours pour publier des correctifs de sécurité après la divulgation des failles. L'année dernière, **TrendMicro's Zero Day Initiative** a attribué 1 078 750 $ pour 29 vulnérabilités zero-day.  ## Le fossé de validation : les tests d'intrusion automatisés répondent à une question. Vous en avez besoin de six. Les outils de tests d'intrusion automatisés apportent une réelle valeur, mais ils ont été conçus pour répondre à une seule question : un attaquant peut-il se déplacer sur le réseau ? Ils n'ont pas été conçus pour tester si vos contrôles bloquent les menaces, si vos règles de détection se déclenchent ou si vos configurations cloud tiennent bon. Ce guide couvre les 6 surfaces que vous devez réellement valider. [Télécharger maintenant](https://hubs.li/Q048zztN0)