L'édition 2026 de Pwn2Own Automotive a fermé cette semaine à Tokyo avec une figure frappante: les chercheurs en sécurité ont réuni 1 047 000 dollars après avoir démontré l'exploitation de 76 vulnérabilités de jour zéro entre le 21 et le 23 janvier. L'événement, qui a eu lieu pendant la conférence Monde automobile de nouveau axé sur la sécurité des véhicules connectés et des infrastructures qui les entourent.
Pwn2Own Automotive est un concours organisé par l'Initiative Zero Day (ZDI) qui défie les équipes de recherche de trouver et de démontrer des défaillances dans les systèmes réels, tant dans les voitures que dans les périphériques connexes. Dans cette édition, les objectifs comprenaient des systèmes d'info-divertissement à jour, des chargeurs de véhicules électriques et des systèmes d'exploitation axés sur la voiture, comme Automotive Grade Linux. La philosophie qui sous-tend la concurrence est pratique : démontrer les échecs dans des conditions contrôlées et forcer les fabricants à les corriger avant leur divulgation publique. Selon la politique ZDI, les fabricants ont 90 jours publier des correctifs depuis qu'une vulnérabilité est signalée dans le concours; cette marge cherche à équilibrer la sécurité de l'utilisateur final avec le besoin de réparation par le fournisseur. Plus de détails sur les résultats et le calendrier sont disponibles dans les rapports ZDI sur le concours: Résumé du troisième jour et programmation complète.
Au-delà du propriétaire économique, ce qui concerne l'industrie est le type de vecteurs qui ont été exploités. Les systèmes d'info-divertissement (IVI) deviennent de plus en plus puissants et accessibles : ils prennent en charge les ports USB, la connectivité sans fil et les applications tierces, ce qui en fait un point d'entrée idéal pour monter des attaques vers des domaines de véhicules plus critiques. Pour leur part, les chargeurs de véhicules électriques (EV) ne sont pas de simples prises intelligentes; beaucoup intègrent des contrôleurs, des interfaces réseau et des panneaux de gestion qui peuvent être attaqués pour interrompre la recharge, manipuler la facturation ou, dans des scénarios extrêmes, affecter la disponibilité électrique locale. La démonstration de 76 vulnérabilités en seulement trois jours est un rappel que la surface d'attaque dans l'écosystème automobile continue de croître autant que la complexité de ses composants.
Sur le podium du prix, l'équipe Fuzzware.io a été élevé avec le premier poste et 215 000 $ après une série de démonstrations réussies. Ses objectifs comprenaient des stations et des régulateurs de charge comme l'HYC50 Alpitronic et des appareils de marque comme Autel, ainsi que des récepteurs multimédias comme le Kenwood DNR1007XR. Le deuxième jour, ils ont étendu leur bande sur les contrôleurs industriels et les chargeurs domestiques - y compris une défaillance dans le pilote Phoenix Contact CHARX SEC-3150, ainsi que dans les stations ChargePoint Home Flex et Grizzl-E - et ont fini avec une petite récompense supplémentaire pour une collision de bug en essayant d'enraciner un récepteur alpin iLX-F511. D'autres équipes comme DDOS et Synactiv ont également remporté d'importants prix; Synacktiv, par exemple, a enchaîné une écriture hors limites avec une fuite d'informations pour compromettre le système d'info-divertissement de Tesla par une attaque USB. Ces détails et les preuves complètes se trouvent dans le rapport de ZDI sur les jours du concours ( ZDI: Résultats du troisième jour).
Cette participation sert deux choses en même temps : elle révèle les véritables faiblesses qui existent aujourd'hui et fait pression sur les fabricants pour qu'ils investissent dans les patchs et les meilleures pratiques de développement sécuritaires. Cependant, l'existence simple d'un patch non à la demande ne suffit pas : l'industrie automobile doit s'assurer que les mises à jour atteignent les véhicules et l'équipement au sol, idéalement grâce à des mécanismes OTA (en direct) sûrs, et à des fonctions de silos critiques distinctes qui rendent difficile le déplacement latéral après la première intrusion. La gestion des dépendances, l'examen des composants tiers et l'adoption de contrôles tels que la signature du firmware et le démarrage sûr sont des mesures qui deviennent plus importantes que la voiture devient un nœud de plus du réseau.
Du point de vue de l'utilisateur et de l'opérateur, ces essais montrent que la sécurité n'est plus un problème exclusif pour le fabricant: les ateliers, les gestionnaires de flotte et les propriétaires devraient exiger une transparence sur la manière dont les mises à jour sont gérées et sur les garanties d'isolement des systèmes critiques. Pour les villes et les opérateurs d'infrastructure, les vulnérabilités des chargeurs de véhicules électriques comportent des risques opérationnels et économiques qui exigent une coordination entre les fabricants, les fournisseurs d'énergie et les régulateurs.
Des concours comme Pwn2Own fonctionnent comme un accélérateur de sécurité : ils encouragent ceux qui découvrent des échecs à les signaler de façon responsable plutôt que de vendre des exploits sur des marchés gris, et génèrent des données utiles pour prioriser les corrections. Mais le prix de l'argent n'est pas un vrai succès: la valeur réelle est que ces vulnérabilités cessent d'exister dans les équipements réels qui circulent ou fournissent de l'énergie. Il incombe maintenant aux fabricants et aux intégrateurs de systèmes de transformer ces constatations en mises à jour efficaces et en audits continus.
Si vous souhaitez approfondir les résultats et les techniques démontrés lors de l'événement, les rapports officiels de ZDI sont la meilleure source principale: Résumé de la clôture du concours et programmation complète ils offrent aux fabricants des listes d'objectifs, des descriptions des techniques utilisées et le calendrier de divulgation.
La leçon pour 2026 est claire : à mesure que la mobilité et l'électrification avancent à grande vitesse, la cybersécurité doit être une priorité précoce et soutenue. Investir dans une conception sûre, des processus de mise à jour fiables et la transparence dans la divulgation des défaillances n'est pas facultatif; il est essentiel de protéger les utilisateurs, les parcs de véhicules et les infrastructures qui soutiennent la mobilité électrique.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...