Le deuxième jour de la compétition Pwn2Own Automotive 2026 a laissé une facturation impressionnante pour les chasseurs d'insectes : 439 250 $ en prix après avoir exploité 29 vulnérabilités zéro jour différentes. Le concours, tenu du 21 au 23 janvier à Tokyo dans le cadre de la conférence Monde automobile, se concentrer sur la sécurité des systèmes qui se déplacent et chargent aujourd'hui les voitures électriques et leurs centres multimédias.
En Pwn2Own Automobile l'équipement est confronté à des dispositifs entièrement garés: stations de chargement des véhicules électriques, systèmes d'information et de divertissement (IVI) et systèmes d'exploitation automobile tels que Automotive Grade Linux. L'objectif n'est pas seulement de gagner des prix en argent, mais de forcer l'identification et la correction des échecs qui, dans le monde réel, pourraient entraîner des risques pour la vie privée ou même la sécurité physique des conducteurs et des passagers. L'organisation met à disposition le compte rendu des résultats et des détails techniques; le résumé de la deuxième journée est disponible sur le blog de l'initiative Initiative Zero Day (ZDI) où la dynamique et les critères du concours sont également expliqués.
Après les deux premiers jours, Des fuzzwares. io mène le classement avec 213 000 dollars accumulés, dont une partie provient d'attaques réussies contre des contrôleurs et des stations de fret comme le Phoenix Contact CHARX SEC-3150, le ChargePoint Home Flex et le Grizzl-E Smart 40A. D'autres équipes ont mis en évidence la diversité des objectifs et la complexité de leurs chaînes d'exploitation : Sina Kheirkhah, de l'équipe d'invocation, a pris 40 000 $ en obtenant des privilèges de racine sur les récepteurs multimédias et les navigateurs (dont le Kenwood DNR1007XR et l'Alpine iLX-F511) et compromettant également un chargeur ChargePoint. De même, Rob Blakely (Technical Debt Collectors) et Hank Chen (InnoEdge Labs) ont obtenu 40 000 $ chacun pour la démonstration de chaînes de défaillance qui affectent Automotive Grade Linux et la station de chargement Alpitonic HYC50.
La somme des résultats obtenus au cours des deux premiers jours s'élève à 955 750 dollars distribués après l'exploitation de 66 vulnérabilités de jour zéro, qui confirme la densité des défaillances critiques qui persistent encore dans l'écosystème automobile connecté. Le détail du calendrier et les objectifs du concours sont publiés par ZDI dans sa programmation événementielle ( consulter le calendrier) et fournit le contexte sur lequel les fabricants et les modèles font l'objet de chaque défi.
La troisième journée s'est poursuivie avec des attaques planifiées contre des stations spécifiques : le Grizzl-E Smart 40A sera de nouveau pris pour cible par des équipes comme Slow Horses de Qrious Secure et PetoWorks, Juurin Oy tentera de compromettre l'HYC50 alpitonique et Ryo Kato ira pour l'Atel MaxiCharger. Ces répétitions ne sont pas occasionnelles : dans de nombreux cas, elles visent à valider d'autres vecteurs d'attaque, à confirmer la reproductibilité des exploits et à déterminer si la même vulnérabilité peut être exploitée sous différents angles (par exemple, interface physique vers le réseau).
Pour comprendre pourquoi Pwn2Own importe, il faut se rappeler que les échecs découverts ici ne sont pas publiés immédiatement de manière ouverte. Les fabricants concernés ont 90 jours pour développer et distribuer des patchs Après notification, un calendrier qui s'inscrit dans le cadre du processus de sensibilisation coordonné et responsable dirigé par le ZDI et d'autres initiatives visant à améliorer la sécurité grâce à des incitations à la recherche. Ce mécanisme vise à établir un équilibre entre l'urgence de corriger les erreurs et la nécessité pour les fournisseurs de fournir des solutions techniquement complètes, en empêchant les défaillances d'être exposées sans recours aux utilisateurs et aux opérateurs. Plus d'information sur la philosophie et les règles du programme est disponible sur le site Web du Initiative «Jour zéro».
Le modèle des concours payants offre plusieurs avantages pratiques : il attire des chercheurs hautement qualifiés qui testent des scénarios réels sur le matériel et les logiciels commerciaux, oblige les fabricants à prendre au sérieux la sécurité des produits qui intègrent les réseaux et les capteurs, et accélère la disponibilité des patchs. Cependant, il révèle également que la transition vers des véhicules connectés et une infrastructure de recharge intelligente a introduit une nouvelle couche de complexité et de zone d'attaque que de nombreuses entreprises apprennent encore à gérer.
Ces événements montrent un ton constant depuis des années : les systèmes automobiles modernes combinent des composants tiers, des logiciels intégrés hérités et des connexions réseau de plus en plus sophistiquées, ce qui multiplie les vecteurs par lesquels un attaquant peut accéder à des fonctions critiques. Dans ce contexte, des initiatives comme Pwn2Own servent de tests de stress publics et constructifs qui poussent l'industrie à relever son niveau de sécurité.
Si vous êtes intéressé à suivre les résultats et les mesures d'atténuation annoncées par les fabricants et les organisateurs, les résumés du concours et les versions officielles de ZDI sont un bon point de départ ( résultats du jour 2 et programme complet). Pour l'industrie et les utilisateurs, la leçon est claire : la connectivité apporte du confort, mais elle oblige aussi à intégrer la sécurité comme une exigence de conception, pas comme un patch arrière.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...