Les hackers gagnent plus de 1 million de dollars pour 28 vulnérabilités zero-day à Pwn2Own Berlin

Pwn2Own, le concours annuel de hacking informatique, s’est récemment terminé lors de la conférence OffensiveCon à Berlin, en Allemagne, qui s’est tenue entre le 15 et le 17 mai 2025. L’événement, organisé par l’Initiative Zero Day de Trend Micro (ZDI), a marqué la première édition européenne de ce célèbre concours de hacking.

Dans une démonstration remarquable de compétences en cybersécurité, les chercheurs de Pwn2Own Berlin 2025 ont collectivement gagné 1 078 750 $ en découvrant et en exploitant 28 vulnérabilités auparavant inconnues, connues sous le nom d’exploits zero-day, dans plusieurs catégories, y compris la virtualisation, les navigateurs web, les applications d’entreprise, les serveurs, l’escalade locale de privilèges (EoP), le cloud/conteneur, l’automobile et l’IA.

Qu’est-ce que Pwn2Own ? **

Pwn2Own est un concours de hacking où des hackers éthiques, des experts en cybersécurité et plusieurs autres participants ciblent les derniers appareils mobiles les plus utilisés, montrant leur capacité à découvrir et à exploiter des vulnérabilités zero-day critiques.

Ceux qui réussissent non seulement gagnent des récompenses en espèces mais conservent également les appareils qu’ils ont compromis.

Après l’événement de hacking, les fournisseurs de technologie ont 90 jours pour résoudre les vulnérabilités signalées. Une fois cette période écoulée, le ZDI divulgue publiquement les défauts, qu’un correctif ait été publié ou non.

Points forts de la compétition

Jour 1

Au Jour 1 de Pwn2Own Berlin 2025, plusieurs exploits réussis ont été démontrés, rapportant aux chercheurs un total de 260 000 $. La plus haute récompense unique de la journée de 60 000 $, ainsi que 6 points Master of Pwn, ont été attribués à Billy et Ramdhan de STAR Labs, qui ont utilisé un bug UAF pour échapper à Docker Desktop et exécuter du code sur le système sous-jacent.

De plus, l’équipe Prison Break a tiré parti d’un dépassement d’entier pour échapper à Oracle VirtualBox et exécuter du code sur le système d’exploitation hôte, leur rapportant 40 000 $ et 4 points Master of Pwn.

Jour 2

Le Jour 2 de Pwn2Own Berlin a vu un total de 435 000 $ être attribués pour divers exploits réussis, portant le total du concours à 695 000 $. La journée a présenté 20 vulnérabilités 0-day uniques, avec Nguyen Hoang Thach de STARLabs SG faisant l’histoire de Pwn2Own en utilisant un seul dépassement d’entier pour exploiter VMware ESXi, sécurisant le paiement le plus élevé de la journée de 150 000 $.

De plus, Viettel Cyber Security a démontré une combinaison puissante de contournement d’authentification et de désérialisation non sécurisée pour compromettre Microsoft SharePoint, gagnant 100 000 $.

Jour 3

Au Jour 3 de Pwn2Own Berlin 2025, plusieurs équipes ont livré des exploits réussis sur une variété de plateformes, contribuant à un total de 383 750 $ en récompenses. Corentin BAYET de REverse Tactics a gagné la plus haute récompense unique de la journée—112 500 $—ainsi que 11,5 points Master of Pwn pour un exploit ESXi partiellement collant qui incluait un dépassement d’entier unique.

De même, Thomas Bouzerar et Etienne Helluy-Lafont de Synacktiv ont gagné 80 000 $ et 8 points Master of Pwn pour avoir utilisé un dépassement de tampon basé sur le tas pour exploiter VMware Workstation.

Résumé global de Pwn2Own Berlin 2025

Le concours de hacking Pwn2Own Berlin 2025 de trois jours a vu des participants divulguer 28 exploits zero-day uniques – dont sept provenaient de la catégorie IA – et gagner un total combiné de 1 078 750 $.

STAR Labs SG a dominé la compétition et a remporté le titre de Master of Pwn, leur rapportant 320 000 $ en paiement et un total de 35 points pour leurs exploits. Viettel Cyber Security est arrivé en deuxième position avec un paiement de 155 000 $ et 15,5 points.

Ils ont été suivis par Reverse Tactics en troisième position sur le tableau des leaders qui a obtenu un paiement total de 112 500 $ et 11,25 points.