Pwn2Own 2025 – Jours 2 & 3 : 73 failles zero-day, plus d’1 M$ et une leçon mondiale de cybersécurité
À lire d’abord : Jour 1 — 34 failles zero-day et 522 500 $ en une journée
Les hackers éthiques ne dorment jamais
Le concours Pwn2Own Ireland 2025 s’achève sur des chiffres qui claquent : 73 failles zero-day découvertes en trois jours et 1 024 750 $ distribués.
Après un Jour 1 explosif, les Jours 2 et 3 ont confirmé l’évidence :
routeurs, imprimantes, NAS, ponts domotiques et smartphones, tout peut tomber, et tombe effectivement quand on met les meilleurs au défi.
Jour 2 : le bal des objets connectés piratés
La journée démarre fort avec les PHP Hooligans qui font à nouveau plier l’imprimante Canon imageCLASS MF654Cdw via un OOB Write (10 000 $, 2 pts Master of Pwn).
Viettel Cyber Security, Qrious Secure, Neodyme et CyCraft Technology enchaînent :
Home Assistant Green, Philips Hue Bridge, QNAP TS-453E… Rien n’est épargné.
Collisions, bugs uniques, injections, contournements d’authentification, la chorégraphie est rodée.
- QNAP TS-453E – code injection unique par Chumy Tsai (CyCraft) (20 000 $, 4 pts).
- Philips Hue Bridge – plusieurs équipes (Qrious, Synacktiv, etc.) démontrent des buffer overflows et contournements, avec collisions fréquentes.
- Home Assistant Green – exploits répétés (Neodyme, Viettel, ANHTUD) mêlant SSRF, stockage en clair d’infos sensibles et collisions.
- Synology DS925+ – Verichains Cyber Force enchaîne deux bugs (dont un auth bypass) pour exécuter du code root (20 000 $, 4 pts).
Moment fort : le Samsung Galaxy S25.
Après une tentative ratée, Ken Gannon / 伊藤 剣 (Mobile Hacking Lab) et Dimitrios Valsamaras (Summoning Team) réussissent un exploit multi-bugs :
50 000 $, 5 pts : la sécurité mobile reste un terrain miné.
Note savoureuse : l’équipe ANHTUD boucle son exploit Home Assistant à 45 secondes de la fin, en combinant 3 failles (dont une SSRF unique).
Oui, la précision compte ; le timing aussi.
Jour 3 : final à sept chiffres
Dernier acte, dernières étincelles. Interrupt Labs transforme une Lexmark CX532adwe en borne d’arcade :
path traversal + untrusted search path ⇒ reverse shell et Doom sur l’écran LCD (10 000 $, 2 pts).
Spectaculaire et pédagogique : quand on parle de chaîne d’exploits, c’est ça.
- Samsung Galaxy S25 – Interrupt Labs (Ben R. & Georgi G.) : prise de contrôle avec activation caméra + géoloc (50 000 $, 5 pts).
- Philips Hue Bridge – Xilokar, kinnay, Thalium (Thales), Viettel : auth bypass, underflow, heap overflow. Plusieurs collisions mais des bugs uniques décisifs.
- Ubiquiti AI Pro – David Bérard (Synacktiv) : deux bugs, démo remarquée (30 000 $, 3 pts).
- QNAP TS-453E – Sina Kheirkhah (Summoning Team) : identifiants codés en dur + injection (20 000 $, 4 pts). Collisions pour d’autres équipes.
- Canon imageCLASS MF654Cdw – Neodyme : overflow entier (10 000 $, 2 pts).
Certaines tentatives échouent (Meta Quest 3S), d’autres sont retirées (WhatsApp).
Moralité : la surface d’attaque s’étend, la barre technique monte, et l’effort nécessaire pour une compromission fiable aussi.
Master of Pwn : la Summoning Team au sommet
Sur l’ensemble des catégories (NAS, domotique, périphériques, mobile), la Summoning Team domine et décroche le titre de Master of Pwn 2025.
Préparation chirurgicale, exécution propre, couverture large, une victoire logique qui s’écrit en points… et en patchs pour des millions d’utilisateurs.
Bilan final : 73 zero-days, 1 024 750 $ de primes, et une leçon :
mieux vaut être « pwned » au bon endroit, par les bonnes personnes, avant les mauvaises.
