Au cours du premier jour de la compétition Pwn2Own Automotive 2026, tenue à Tokyo dans le cadre de l'événement Automotive World, les chercheurs en sécurité ont démontré avec des faits pourquoi les systèmes connectés des voitures et l'infrastructure de chargement électrique restent une cible critique : ils ont réussi à exploiter des dizaines de vulnérabilités de zéro jour et ont pris plus d'un demi-million de dollars juste pour compromettre le système d'infoentertainment de Tesla.
L'événement, organisé par l'Initiative Zero Day (ZDI) de Trend Micro, est devenu une exposition ouverte de chaînes explosives, où les petites défaillances enchaînées vous permettent de prendre le contrôle d'appareils qui, en clair, ne servent qu'à jouer de la musique ou gérer un point de chargement. ZDI publie lui-même le calendrier et les résultats de l'événement; dans son blog, la programmation complète et le rapport du premier jour sont disponibles, qui servent de source directe de ce qui s'est passé ( ordre du jour et résultats du jour 1).
Parmi les équipes exceptionnelles, Synacktiv a enchaîné une fuite d'informations avec un défaut d'écriture hors limite à l'échelle des privilèges de niveau racine dans le système d'info-entertainment de Tesla par une attaque USB, et a également démontré l'exécution de code de niveau racine sur un récepteur multimédia Sony. D'autres participants comme Fuzzware. io, PetoWorks ou le groupe connu sous le nom de DDOS a réussi à briser la défense des stations de chargement de voiture et des navigateurs, accumulant des prix importants pour chaque explosion réussie. Au total, des dizaines de vulnérabilités ont été signalées le premier jour, avec des récompenses en centaines de milliers de dollars., qui reflète l'évaluation élevée que l'industrie et les organisateurs donnent à ce type de conclusions.
Pourquoi est-ce si important de pirater un système d'infodivertissement ou une station de chargement ? Parce que dans les voitures modernes, ces composants ne sont plus isolés : par le biais de réseaux internes, de mises à jour en OTA ou de ports physiques, ils peuvent agir comme vecteurs pour atteindre des éléments critiques tels que le pilote CAN, les systèmes de soutien du conducteur ou la télémétrie. Dans le cas de l'infrastructure du fret, une vulnérabilité peut permettre de traiter la facturation pour interrompre la disponibilité du fret ou, dans des scénarios extrêmes, affecter la sécurité physique du véhicule ou l'approvisionnement local en électricité.
Pwn2Own est un exercice à risque contrôlé délibéré: les chercheurs montrent des exploits réels contre des dispositifs à jour et, en échange d'un paiement, signalent des vulnérabilités aux fabricants pour préparer des patchs. La ZDI applique une fenêtre de divulgation responsable - les vendeurs ont un temps de réparation avant que les détails soient rendus publics - et cette politique cherche à équilibrer la nécessité pour l'industrie de corriger les défaillances avec la transparence de leur existence. ZDI elle-même et Trend Micro expliquent sur leurs canaux comment ces processus fonctionnent et pourquoi ils sont importants pour la sécurité mondiale de l'écosystème connecté ( Initiative «Jour zéro»).
La concurrence laisse deux grandes leçons: premièrement, que les systèmes qui gèrent le divertissement, la navigation et la cargaison sont suffisamment complexes pour contenir de multiples échecs exploitables; deuxièmement, que l'économie de sécurité incitative - les paiements directs pour les vulnérabilités - reste un moyen efficace pour les entreprises de connaître et de résoudre leurs problèmes avant qu'un attaquant malveillant les abuse.
Parallèlement aux essais sur la scène, le calendrier de l'événement a annoncé que dans la deuxième journée, les tentatives contre des chargeurs spécifiques seraient intensifiées, avec plusieurs équipes en compétition pour compromettre des modèles tels que le Grizzl-E Smart 40A, l'Autel MaxiCharger ou le ChargePoint Home Flex. Chaque tentative réussie à l'origine de ces équipes impliquait des prix robustes, une mécanique qui attire les chercheurs spécialisés dans le matériel et le firmware.
Afin de mieux comprendre l'importance de ce type d'exercice, il convient de rappeler que les règlements et les directives en matière de sécurité électronique ont progressé ces dernières années. Des organismes comme la National Road Traffic Safety Administration des États-Unis (NHTSA) et des organismes internationaux ont mis l'accent sur les pratiques et les normes visant à réduire la surface des attaques contre les véhicules connectés et leurs infrastructures connexes ( NHTSA - Cybersécurité). La collaboration entre les chercheurs indépendants, les fabricants et les organismes de réglementation est essentielle pour améliorer l'accès au parc en circulation.
En fin de compte, les démonstrations publiques comme Pwn2Own agissent comme un thermomètre : elles montrent des vulnérabilités réelles, elles injectent l'urgence d'appliquer des correctifs et aident à définir les meilleures pratiques dans la conception et la segmentation du réseau au sein du véhicule. Tout en voyant une Tesla ou un cargo compromis peut sembler alarmant, l'objectif de ces événements est précisément que ces échecs soient corrigés avant que quelqu'un ayant des intentions criminelles puisse les exploiter..
Si vous souhaitez suivre les annonces et les mises à jour en direct, les canaux officiels de l'organisation offrent le rapport détaillé de chaque défi, ainsi que des liens vers les réponses des fabricants et les corrections publiées après la période de 90 jours pour le stationnement. Pour élargir le contexte du congrès d'accueil de la compétition, le site Automotive World contient des informations sur l'événement et les sessions dans lesquelles Pwn2Own se développe ( Monde automobile).
Bref, si la mobilité est numérisée et électrifiée, la sécurité est une exigence complémentaire à un besoin structurel. Des événements comme Pwn2Own Automotive récompensent non seulement ceux qui trouvent des échecs, mais aident à construire un écosystème où les voitures et les réseaux de chargement sont plus fiables pour tous.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...