Netcrook Logo
👤 CIPHERWARDEN
🗓️ 26 Oct 2025   🗂️ Threats    

Zero-Days, primes à un million de dollars et la bataille pour vos appareils : dans les coulisses de Pwn2Own Irlande 2025

Des hackers du monde entier ont débarqué à Cork pour exposer - et monnayer - les failles cachées de la technologie du quotidien, des imprimantes aux smartphones.

En bref

  • Montant total des récompenses : plus d’un million de dollars attribués pour 73 vulnérabilités zero-day uniques en trois jours.
  • Plus grosse récompense individuelle : 1 000 000 $ offerts pour une exploitation zero-click de WhatsApp (aucun gagnant annoncé).
  • Cibles variées : imprimantes, routeurs, NAS, hubs domotiques et smartphones tous piratés avec succès.
  • Titre de “Master of Pwn” : remporté par Summoning Team pour leurs exploits remarquables.
  • Organisateur : Zero Day Initiative (ZDI), qui promeut la divulgation responsable des vulnérabilités depuis 2005.

Un jeu à haut risque à Cork

Imaginez une arène de gladiateurs high-tech : au lieu d’épées, les armes sont des lignes de code ; au lieu d’armures, les défenses sont les murs numériques qui protègent les appareils que nous utilisons chaque jour. Pendant trois jours en octobre 2025, Cork, en Irlande, est devenu l’épicentre de cette bataille, alors que Pwn2Own - l’une des compétitions de hacking en direct les plus prestigieuses au monde - mettait au défi les meilleurs chercheurs en cybersécurité de percer l’armure numérique de la tech grand public pour la gloire et la fortune.

Les origines de Pwn2Own remontent à 2007, lorsqu’un MacBook fut la toute première cible. Depuis, le concours est devenu un spectacle mondial, attirant les meilleurs chercheurs qui se précipitent pour trouver des exploits “zero-day” - des failles de sécurité jusque-là inconnues - avant que les criminels ne le fassent. Le modèle de divulgation publique et coordonnée de l’événement vise à aider les fournisseurs à corriger les bugs avant qu’ils ne soient exploités dans la nature, une étape cruciale dans notre monde interconnecté.

Des imprimantes aux téléphones : qu’est-ce qui a été piraté ?

L’édition 2025 a vu les hackers cibler tout, des simples imprimantes et routeurs domestiques aux smartphones haut de gamme et hubs domotiques. L’équipe Neodyme a ouvert le bal en piratant une imprimante HP via un dépassement de tampon, tandis que Synacktiv a démontré comment un NAS (stockage en réseau) pouvait être détourné pour 40 000 $. L’équipe DDOS a réalisé un exploit spectaculaire baptisé “Smashup”, enchaînant huit bugs distincts pour passer d’un routeur domestique à un NAS, illustrant la façon dont les attaquants peuvent se déplacer latéralement dans les réseaux domestiques.

L’attraction principale du concours - une prime d’un million de dollars pour un hack zero-click de WhatsApp - est restée sans vainqueur, mais le nombre d’attaques réussies sur des équipements du quotidien a de quoi inquiéter. Des appareils domotiques comme les ponts Philips Hue et les unités d’automatisation domestique sont tombés face à des combinaisons de bugs inventives, tandis qu’un Samsung Galaxy S25 a été compromis via une faille de validation des entrées, rapportant 50 000 $. Dans de nombreux cas, les hackers ont exploité des bugs de “collision” - des vulnérabilités similaires à celles découvertes plus tôt dans le concours - montrant à quel point certaines faiblesses peuvent persister.

Au-delà du concours : pourquoi c’est important

Les enjeux à Cork ne se limitaient pas à l’argent des récompenses. Ces dernières années, des attaques réelles ont exploité des failles similaires, des campagnes de ransomware contre des hôpitaux aux botnets détournant des appareils domotiques. Les leçons de Pwn2Own résonnent bien au-delà du concours : à mesure que tout, des ampoules aux réfrigérateurs, devient connecté, la surface d’attaque pour les cybercriminels ne cesse de s’étendre.

Les leaders de l’industrie et les décideurs politiques suivent ces concours de près, utilisant les vulnérabilités révélées comme signaux d’alerte précoce. L’événement met aussi en lumière le professionnalisme croissant de la communauté des hackers “white hat”, dont le travail constitue souvent la première - et parfois la seule - ligne de défense contre les menaces cyber mondiales. Avec la montée des tensions géopolitiques et la cybercriminalité qui prospère sur le marché noir, la nécessité d’une divulgation coordonnée et responsable n’a jamais été aussi évidente.

Pwn2Own Irlande 2025 n’a pas couronné de conquérant de WhatsApp, mais a prouvé que les appareils en lesquels nous avons le plus confiance recèlent encore des dangers cachés. Pour chaque exploit révélé à Cork, d’innombrables autres restent peut-être dans l’ombre - rendant le travail des chercheurs, des fournisseurs et des utilisateurs vigilants plus important que jamais.

WIKICROOK

  • Zero : Une vulnérabilité zero-day est une faille de sécurité cachée, inconnue de l’éditeur du logiciel, sans correctif disponible, ce qui la rend très précieuse et dangereuse pour les attaquants.
  • Dépassement de tampon : Un dépassement de tampon est une faille logicielle où trop de données sont écrites en mémoire, permettant potentiellement aux hackers d’exploiter le système en exécutant du code malveillant.
  • Injection de code : L’injection de code est une attaque où les hackers insèrent du code malveillant dans un programme, leur permettant de contrôler ou de compromettre le système ciblé.
  • Divulgation responsable : La divulgation responsable consiste à signaler en privé les failles de sécurité aux éditeurs, leur permettant de corriger les problèmes avant que l’information ne soit rendue publique.
  • Pivoting : Le pivoting est une technique où les attaquants utilisent un appareil compromis comme point de départ pour accéder et contrôler d’autres systèmes sur le même réseau.
CIPHERWARDEN CIPHERWARDEN
Cyber Encryption Architect
← Back to news