Comment tout a commencé
Bien plus qu'un simple concours, Pwn2Own est un terrain d'essai pour l'innovation et un rappel puissant des enjeux élevés dans la sécurité. Il expose les vulnérabilités dans les appareils et logiciels fréquemment utilisés, et sert de point de repère essentiel pour comprendre les avancées dans la cybersécurité depuis l'événement de l'année précédente.
Depuis sa création lors de la conférence sur la sécurité CanSecWest de 2007 à Vancouver, au Canada, Pwn2Own s'est fortement développé et organise désormais trois événements par an.
L'évolution de Pwn2Own : récolter les bénéfices
Pwn2Own est passé du statut de petit concours, avec 10 000 $ de prix, à celui de concours de piratage le plus prestigieux au monde, offrant plus de 1 million $ par événement. L'évolution de ses règles correspond à celle du contexte des menaces, et s'étend pour couvrir les navigateurs, les systèmes d'exploitation, les serveurs et, depuis 2019, les automobiles. Cette envergure a permis au programme Zero Day Initiative™ (ZDI) de Trend d'interagir avec des chercheurs de premier plan du monde entier.
Le processus de divulgation de Pwn2Own est l'un des meilleurs forums pour aider les fournisseurs et les chercheurs à collaborer directement et à discuter des vulnérabilités en temps réel. Cette envergure nous a permis d'interagir avec des chercheurs de premier plan du monde entier.
Pwn2Own 2025
Automne 2025
Des événements enthousiasmants se profilent
Nous regroupons nos informations et travaillons sur un événement important. Restez à l'écoute et revenez bientôt pour obtenir tous les détails. Ne manquez pas cela !
Mai 2025
Pwn2Own Berlin
Au mois de mai, Pwn2Own fait une halte à Berlin, en Allemagne, avec de nouveaux défis pour les meilleurs chercheurs du monde en sécurité. Cette année, nous ajoutons une catégorie IA, qui repousse les limites de l'injection d'invite et de l'exécution de code complet dans les cadres d'IA. La catégorie Tesla fait également son grand retour : les chercheurs vont cibler les derniers systèmes de véhicules, notamment la Model 3 de 2024 et la Model Y de 2025. Avec plus de 1 000 000 $ de récompenses et des catégories allant des navigateurs Web à la sécurité du cloud, en passant par les applications d'entreprise et plus encore, le concours continue d'évoluer en fonction du paysage de la cybersécurité.
Janvier 2025
Une rétrospective de Pwn2Own Automotive 2025
Avez-vous entendu parler du défi ultime pour la cybersécurité automobile à Pwn2Own Automotive 2025 ? Il a rassemblé les meilleurs talents qui ont pu mettre en avant leurs compétences auprès des leaders du secteur, tout en soutenant l'innovation afin de rendre les véhicules plus sûrs pour tous. L'événement a proposé une plateforme pour des contributions révolutionnaires et la possibilité de gagner des prix en liquide, des trophées et une reconnaissance internationale. Nous avons distribué 886 250 $ pour 49 attaques zero-day uniques, y compris des recherches sur les chargeurs de véhicules électriques qui n'avaient jamais été démontrées publiquement auparavant. Sina Kheirkhah a reçu le titre de Master of Pwn avec 222 250 $ gagnés au total.
L'image d'ensemble : Pwn2Own au fil des ans depuis son lancement en 2007
Pwn2Own Automotive 2025
L'événement, qui s'est déroulé du 22 au 24 janvier à Tokyo, a rassemblé certains des meilleurs chercheurs au monde, pour tester les derniers composants automobiles. Les principaux partenaires comprenaient les géants de l'innovation VicOne et Tesla.
Pwn2Own Irlande 2024
L'événement de 2024, qui s'est déroulé dans les bureaux de Trend Micro à Cork, en Irlande, a présenté de nouvelles catégories, y compris la catégorie WhatsApp sponsorisée par Meta, qui offrait des gains potentiels allant jusqu'à 300 000 $. En outre, les appareils avec IA ont été ajoutés pour la première fois, avec les smartphones, les systèmes NAS et les appareils photo avec des fonctionnalités IA. Pendant 4 jours, nous avons versé plus de 1 million $ pour plus de 70 vulnérabilités zero-day et avons couronné Viettel Cyber Security en tant que Master of Pwn.
Pwn2Own Vancouver 2024
Pwn2Own est retourné à la conférence CanSecWest à Vancouver, au Canada, pour mettre en avant les derniers exploits dans les serveurs et applications d'entreprise. Au total, nous avons versé 1 132 500 $ pour 29 zero-day uniques. Manfred Paul a été couronné Master of Pwn. Il a gagné 202 500 $ et 25 points au total, en exploitant les quatre navigateurs pendant le concours (Chrome, Edge, Safari et Firefox). Cet événement a également introduit Docker en tant que cible, et l'équipe de STAR Labs SG a associé deux bugs pour exécuter l'évasion du conteneur. Valentina Palmiotti a utilisé un bug Improper Update of Reference Count (Mise à jour incorrecte du nombre de référence) pour escalader des privilèges sur Windows 11. Cette action a reçu plus tard la récompense « Best Privilege Escalation » aux Pwnie Awards 2024. Les autres temps forts ont inclus des exploits sur Oracle VirtualBox et des escalades des privilèges sur les principaux systèmes d'exploitation.
Pwn2Own Automotive 2024
L'événement d'inauguration Pwn2Own Automotive a été diffusé en direct depuis Tokyo à la conférence Automotive World. La réaction a dépassé nos attentes, avec plus de 45 entrées couvrant toutes les catégories. Nous avons versé 1 323 750 $ tout au long de l'événement et avons découvert 49 vulnérabilités zero-day uniques.
Pwn2Own Toronto 2023
L'édition consommateur de Pwn2Own est retournée dans les bureaux de Toronto de Trend, avec des cibles telles que les téléphones portables, les systèmes de surveillance et les petits bureaux. L'événement a attiré une grande attention, car les fournisseurs ont effectué des poussées de sécurité de dernière minute et les chercheurs ont démontré des exploits à impact élevé. Synacktiv a démontré un exploit zéro clic sur la caméra Wyze, tandis qu'une attaque réussie sur le Xiaomi 13 Pro a poussé Xiaomi à désactiver des parties de son réseau mondial. Au total, 1 038 500 $ ont été versés pour 58 vulnérabilités zero-day uniques, et l'équipe Viettel a gagné le titre de Master of Pwn avec 180 000 $ et 30 points.
Pwn2Own Vancouver 2023
À CanSecWest, Pwn2Own a divulgué 27 vulnérabilités zero-day et a offert 1 035 000 $ et une Tesla Model 3. Les exploits Tesla ont ciblé la passerelle et plusieurs sous-systèmes, bénéficiant ainsi d'un accès root. SharePoint et macOS sur M2 ont également été compromis, et des vulnérabilités Windows étendues ont été découvertes. Synacktiv a remporté le titre de Master of Pwn avec 530 000 $, 53 points et la Tesla Model 3.
Pwn2Own Miami 2023
Le concours ICS/SCADA a fait son retour à la conférence S4 à Miami Beach, en Floride, et a divulgué 27 vulnérabilités zero-day sur 10 produits issus de 16 entrées. Pour la première fois, l'IA a joué un rôle : Claroty a utilisé ChatGPT dans une chaîne de six exploits ciblant le serveur d'intégration sécurisé (Secure Integration Server) Softing. Les récompenses ont atteint un montant total de 153 500 $, et Team 82 pour Claroty a été proclamé Master of Pwn avec 98 500 $.
Pwn2Own Toronto 2022
Le premier Pwn2Own de Toronto, organisé dans les bureaux de Trend Micro, est devenu le plus grand événement de l'histoire, avec 66 participations de 36 équipes ciblant 13 produits. Les récompenses ont atteint un montant total de 989 750 $ pour 63 vulnérabilités zero-day. Les temps fort ont inclus la catégorie SOHO Smashup, des exploits Samsung Galaxy S22 et une imprimante Lexmark transformée en juke-box. DEVCORE a remporté le titre de Master of Pwn avec 142 500 $.
Pwn2Own Vancouver 2022
Le 15e anniversaire de Pwn2Own à Vancouver a distribué 1 155 000 $ pour 25 vulnérabilités zero day. Le premier jour a établi un record avec 800 000 $, avec notamment des exploits Microsoft Teams. Le deuxième jour a présenté des piratages du système d'infodivertissement Tesla, et des escalades de privilèges sous Windows 11 ont eu lieu le troisième jour. STAR Labs a remporté le titre de Master of Pwn avec 270 000 $ et 27 points.
Pwn2Own Miami 2022
La deuxième édition de Pwn2Own Miami, en Floride, s'est déroulée du 19 au 21 avril 2022, au Fillmore de South Beach, à Miami. Lors de ce concours sur trois jours, les participants ont gagné 400 000 $ pour 26 vulnérabilités zero-day uniques. L'équipe de Daan Keuper et Thijs Alkemade de Computest Sector 7 ont reçu le titre de Master of Pwn et ont gagné 90 000 $. L'un des temps forts du concours a été proposé par Daan Keuper et Thijs Alkemade, qui ont contourné la vérification d'application fiable sur la norme OPC Foundation OPC UA .NET Standard.
Pwn2Own Austin 2021
Face à la poursuite des restrictions de voyages, la version consommateur de Pwn2Own a eu lieu au siège social de Trend ZDI, à Austin, dans le Texas. Cet événement a attiré l'attention de la communauté de recherche et s'est avéré être le plus grand événement de l'histoire de Pwn2Own, avec 58 participations distinctes de plus de 22 équipes ciblant 13 produits différents. Nous avons versé 1 081 250 $ pour 61 vulnérabilités zero-day uniques, le deuxième plus grand montant de l'histoire de Pwn2Own. Parmi les moments d'anthologie, un exploit a transformé une imprimante HP en juke-box et on a pu entendre le titre Thunderstruck d'AC/DC sur son haut-parleur interne.
Pwn2Own Vancouver 2021 (From Austin with Love)
Du 6 au 8 avril 2021, le concours Pwn2Own s'est déroulé à Austin, au Texas, et en ligne. La catégorie Communications d'entreprise a fait son apparition lors de cette année, avec Microsoft Teams et Zoom Messenger. Le premier jour, Apple Safari, Microsoft Exchange, Microsoft Teams, Windows 10 et Ubuntu ont tous été compromis. Zoom Messenger a failli face à un exploit zéro clic le deuxième jour, et Parallels Desktop, Google Chrome et Microsoft Edge ont également été exploités. Le concours a versé plus de 1 200 000 $ pour 23 vulnérabilités zero-day uniques. Le titre de Master of Pwn a été partagé entre Team DEVCORE, OV, et Daan Keuper et Thijs Alkemade.
Pwn2Own Tokyo (en direct de Toronto) 2020
Le confinement lié à la COVID-19 se poursuivant, la conférence PacSec a eu lieu à nouveau en ligne. L'événement a été diffusé en direct sur Twitch et YouTube, et des entretiens et des vidéos plus anciennes comblaient l'attente entre les tentatives. Lors de ce concours, les serveurs SAN (storage area network) ont été également ajoutés en tant que cible. Le concours a versé 136 500 $ pour 23 bugs uniques. Pedro Ribeiro et Radek Domanski ont remporté le titre de Master of Pwn avec deux exploits SAN réussis.
Pwn2Own Vancouver 2020
En raison de la COVID-19, l'événement a eu lieu en ligne, ce qui a permis aux chercheurs d'envoyer leurs exploits à l'avance. Les chercheurs de Trend ZDI ont exécuté les exploits depuis leur domicile, en enregistrant à la fois l'écran et un appel Zoom avec les participants. Sur 2 jours, 6 démonstrations réussies ont reçu 270 000 $, avec 13 bugs uniques achetés dans Adobe Reader, Apple Safari et macOS, Microsoft Windows et Oracle VirtualBox. Parmi les temps fort, Lucas Leong, chercheur Trend ZDI, a présenté un bug Oracle VirtualBox sans correctif. Amat Cama et Richard Zhu ont remporté le titre de Master of Pwn avec 90 000 $ de gains.
Pwn2Own Miami 2020
Accueilli par la conférence S4, le tout premier Pwn2Own à Miami s'est concentré sur les systèmes de contrôle industriel (ICS, Industrial Control Systems). Les chercheurs ont ciblé plusieurs catégories, notamment les serveurs de contrôle, les serveurs OPC Unified Architecture (OPC UA), les passerelles DNP3, les interfaces homme machine (HMI, Human Machine Interfaces), et les logiciels de station de travail d'ingénierie (EWS, Engineering Workstation Software). 8 groupes concurrents ont pu exploiter au moins une cible dans chaque catégorie. La valeur des sommes versées et des prix a atteint plus de 280 000 $, et plus d'une vingtaine de vulnérabilités zero-day ont été achetées. Steven Seeley et Chris Anastasio ont remporté le titre de Master of Pwn avec 80 000 $ de gains.
Pwn2Own Tokyo 2019
Facebook a été inclus et a intégré son système de RV Oculus Quest au concours. Nous avons également étendu les limites du concours afin d'inclure davantage d'appareils IoT, comme des haut-parleurs intelligents, des télévisions et des routeurs sans fil. Au total, nous avons versé plus de 315 000 $ au cours des deux jours du concours, tout en achetant 18 bugs liés aux différents produits. Avec 195 000 $ et 18,5 points, le duo Fluoroacetate composé et Richard Zhu et d'Amat Cama a conservé son titre de Master of Pwn, le troisième d'affilée.
Pwn2Own Vancouver 2019
En partenariat avec nous, Tesla a ajouté une Model 3 au concours, avec 6 points principaux pour définir la portée de la recherche. Cet ajout concernait des catégories traditionnelles comme les navigateurs Web, les logiciels de virtualisation, les applications d'entreprise et la connexion bureau à distance Windows. Sur trois jours, Trend ZDI a versé 545 000 $ pour 19 vulnérabilités uniques. Amat Cama et Richard Zhu ont remporté le titre de Master of Pwn avec 375 000 $ de gains et la Model 3.
Pwn2Own Tokyo 2018
Nous avons ajouté des objectifs IoT au concours et avons remplacé son nom initial, Mobile Pwn2Own, par Pwn2Own Tokyo. Des enceintes intelligentes, des webcams et des montres connectées étaient incluses dans le concours, mais aucun de ces appareils n'a été ciblé. Le concours a versé 325 000 $ au total tout en achetant 18 rapports de bug zero-day. Atteignant 45 points et 215 000 $, Amat Cama et Richard Zhu ont remporté le titre de Master of Pwn.
Pwn2Own 2018
Trend ZDI a travaillé en partenariat avec Microsoft pour accueillir VMware en tant que sponsor pour 5 catégories d'objectifs : virtualisation, navigateurs Web, applications d'entreprise, serveurs et une catégorie spéciale Windows Insider Preview Challenge. La participation des équipes parrainées par des entreprises a diminué, car les équipes chinoises n'étaient plus autorisées à participer. Le concours a versé 267 000 $ pour une dizaines d'exploits zero-day et a couronné Richard Zhu (fluorescence) en tant que Master of Pwn.
Mobile Pwn2Own 2017 (Tokyo, Japon)
Ce concours mobile était le plus grand jamais organisé à l'époque. Nous avons acheté un total de 32 bugs uniques pendant le concours et les participants ont gagné 515 000 $ de récompenses. Tencent Keen Security Lab a remporté le titre de Master of Pwn avec 44 points. Il s'agissait du premier concours dans lequel le retrait d'une tentative engendrait des points négatifs pour le titre de Master of Pwn.
Pwn2Own 2017
Le dixième anniversaire du concours avait été le plus animé : Trend ZDI avait dépensé 833 000 $ en acquérant 51 bugs zero-day différents. Face au nombre élevé de soumissions, deux pistes ont été nécessaires le jour 2 pour recevoir toutes les entrées. Lors de ce concours, deux élévations de SE invité-vers-hôte ont réussi dans VMware. L'équipe de 360 Security a remporté le titre de Master of Pwn avec un total de 63 points. Cette année, les équipes ont envoyé des bugs avant le concours, dans un effort stratégique pour éliminer les vulnérabilités de leurs concurrents.
Mobile Pwn2Own 2016 (Tokyo, Japon)
Le concours a fait son retour à Tokyo avec l'iPhone 6s, le Google Nexus 6p et le Galaxy S7 en tant que cibles. Tous ont été exploités et le concours a versé 375 000 $ au total. Tencent Keen Security Lab Team a reçu le titre de Master of Pwn avec un total de gains de 210 000 $ et 45 points.
Pwn2Own 2016
Lors de cette année, le titre de Master of Pwn a été introduit, pour récompenser le gagnant de Pwn2Own. L'ordre du concours étant déterminé par un tirage au sort, les participants peu chanceux pouvaient recevoir moins d'argent même s'ils présentaient d'excellentes recherches, car les tours suivants présentent moins de valeur. Cependant, les points attribuées pour chaque entrée réussie ne diminuent pas. Un participant malchanceux au tirage pouvait tout de même accumuler le plus grand nombre de points. L'équipe de Tencent Security Team Sniper a décroché le premier titre de Master of Pwn, avec 38 points. Au total, le concours a versé 460 000 $ pour 21 vulnérabilités.
Mobile Pwn2Own 2015
L'équipe a fait une pause d'une année pour déterminer comme traiter au mieux les soumissions, tout en restant conforme à l'Arrangement de Wassanaar.
Pwn2Own 2015
Le niveau de difficulté a fortement augmenté lors du concours de 2015, car le prix « licorne » de 2014 était devenu la norme pour toutes les cibles Windows. Les exploits réussis ont dû s'évader de l'Enhanced Mitigation Experience Toolkit (EMET) de Microsoft sur toutes les cibles Windows, atteindre l'exécution de code de niveau SYSTEM (avec un bonus de 25 000 $), et cibler des navigateurs 64 bits avec le mode Enhanced Protected Mode (EPM) activé.
Mobile Pwn2Own 2014 (Tokyo, Japon)
Notre plus grand événement mobile à l'époque, où sept téléphones étaient ciblés par sept équipes différentes. Tous ont été exploités avec succès.
Pwn2Own 2014
2 jours de paiements record ont rapproché Pwn2Own de son premier concours à un million de dollar, en versant 850 000 $ à 8 participants, et 385 000 $ de prix n'ont pas été attribués. Le concours Pwn4Fun entre Google et Trend ZDI a permis de cumuler 82 500 $ pour des organismes caritatifs, tandis que le grand prix Exploit Unicorn de 150 000 $, créer pour pousser les meilleurs chercheurs à se surpasser, n'a pas été attribué.
Mobile Pwn2Own 2013 (Tokyo, Japon)
Le concours a eu lieu en Asie pour la première fois et la portée s'est développée pour inclure les attaques basées sur Bluetooth, Wi-Fi et USB. Les prix ont été compris entre 50 000 $ et 100 000 $, pour un total de 300 000 $. Des participants du Japon et de la Chine ont rejoint les participants des États-Unis pour la première fois, avec un total de gains atteignant 117 500 $.
Pwn2Own 2013
La portée s'est étendue au-delà des vulnérabilités dans le navigateur Web pour inclure les plug-ins. La valeur des prix était de 560 000 $, les prix individuels allant de 20 000 $ à 100 000 $. Les participants ont gagné 320 000 $.
Mobile Pwn2Own 2012 (Amsterdam, Pays-Bas)
Organisé en Europe pour la première fois, le concours a introduit de nouvelles règles axées sur les appareils mobiles uniquement, en offrant des prix allant de 30 000 $ à 100 000 $ (pour une attaque sur bande de base cellulaire). 2 groupes de chercheurs se sont affrontés et ont remporté un total de 60 000 $.
Pwn2Own 2012
Le concours a adopté un format capturer-le-drapeau, avec un système de points pour les exploits ciblant les dernières versions d'IE, Firefox, Safari et Chrome. Des prix de 60 000 $, 30 000 $ et 15 000 $ ont été versés aux premier, deuxième et troisième rangs, respectivement.
Pwn2Own 2011
Google a participé en tant que co-sponsor pour Chrome uniquement, avec une valeur de prix de 125 000 $. Les catégories non-Chrome ont offert 15 000 chacune. Les participants ont gagné 60 000 $ au total, mais personne n'a tenté d'exploit Chrome.
Pwn2Own 2010
Les participants ont gagné au total 45 000 $. 10 000 $ ont été versés pour chaque cible Web et 15 000 $ pour chaque cible mobile.
Pwn2Own 2008-09
La portée du concours Pwn2Own a été étendue de manière à inclure une plus large gamme de systèmes d'exploitation et de navigateurs. Trend ZDI a organisé le concours et a accepté d'acheter toutes les vulnérabilités démontrées, en versant des prix allant de 5 000 $ à 20 000 $ par vulnérabilité. Les participants ont gagné 15 000 $ en 2008 et 20 000 $ en 2009.
Pwn2Own 2007
Lancé par Dragos Ruiu, fondateur de CanSecWest, le premier concours a souligné les manquements de sécurité du système d'exploitation MacOS X d'Apple. À l'époque, on pensait volontiers qu'OS X était bien plus sécurisé que ses concurrents. Initialement, seuls des ordinateurs portables étaient offerts en récompense. Cependant, lors du premier jour de la conférence, il a été demandé au programme Trend ZDI de participer. Trend ZDI a proposé d'acheter les vulnérabilités utilisées dans le concours au prix unique de 10 000 $.