Microsoft n’aura pas traversé la première journée de Pwn2Own Berlin 2026 en toute discrétion. Windows 11 a été compromis à plusieurs reprises, tandis que la sandbox de Microsoft Edge a cédé sous l’effet d’une chaîne d’exploitation. Le tout sur des versions pourtant à jour, dans le cadre très balisé du concours.
Pwn2Own Berlin 2026 venait à peine d’ouvrir ses portes que Microsoft figurait déjà parmi les cibles les plus commentées du concours. Organisé du 14 au 16 mai pendant l’OffensiveCon, l’événement réunit des chercheurs et chercheuses en sécurité venus éprouver des logiciels à jour, failles inédites à l’appui. Parmi les premières victimes de cette réunion de cerveaux en bande très organisée, Windows 11 a plié face à plusieurs vulnérabilités d’élévation de privilèges, tandis que la sandbox de Microsoft Edge n’a pas résisté à l’exploitation menée contre le navigateur. Comme le prévoit le règlement, Microsoft dispose désormais de 90 jours pour préparer ses correctifs avant publication des détails techniques.
Offre partenaire
Votre petite entreprise a de grandes ambitions. Protégez-là contre les pirates. Et développez sereinement votre activité !
Offre partenaire
Microsoft Edge, quatre bugs et une sandbox prise de court
Le coup le plus remarqué de cette première journée concerne donc Microsoft Edge. Le chercheur Orange Tsai a ainsi empoché 175 000 dollars après avoir chaîné quatre erreurs de logique interne pour provoquer une sortie de sandbox du navigateur. Derrière cette formule un peu sèche, il faut comprendre qu’Edge n’a pas été mis en défaut par une seule vulnérabilité, mais par plusieurs faiblesses combinées, ayant permis de franchir l’une des mesures de sécurité les plus importantes des navigateurs actuels.
Pour rappel, la sandbox sert à limiter les dégâts lorsqu’un navigateur exécute du code venu du web. Une page, un script JavaScript, une image, un document ou une publicité peuvent contenir des éléments piégés. Le navigateur doit donc les traiter sans leur laisser un accès direct au reste de la machine. C’est le rôle de la sandbox. Elle réduit les droits accordés à certaines opérations et les isole du système, afin qu’un bug dans Edge ne puisse pas aussitôt ouvrir l’accès aux fichiers, aux autres applications ou aux fonctions les plus sensibles de Windows.
Windows 11 touché sur le terrain des élévations de privilèges
Windows 11 n’a pas été épargné non plus. Trois équipes sont parvenues à exploiter de nouvelles vulnérabilités d’élévation de privilèges sur le système de Microsoft, décrochant chacune entre 15 000 et 30 000 dollars de récompense. Les démonstrations ont été menées par Angelboy et TwinkleStar03, associés au DEVCORE Internship Program, par Marcin Wiązowski, ainsi que par Kentaro Kawane, de GMO Cybersecurity.
Ce type de faille ne permet pas toujours de pénétrer dans une machine depuis l’extérieur. Une élévation de privilèges sert plutôt à obtenir des droits plus élevés sur un système déjà compromis, par exemple pour passer d’un compte limité à des permissions administrateur, accéder à des zones protégées de Windows ou exécuter des actions jusque-là bloquées. Dans une chaîne d’attaque, c’est souvent l’étape qui donne à l’attaquant une marge de manœuvre bien plus large.
Pour l’instant, aucun détail technique n’a été publié concernant les exploitations menées contre Windows 11 comme contre Microsoft Edge. Les vulnérabilités ont été signalées à Microsoft dans le cadre du concours, et devront être corrigées avant la levée de l’embargo prévue par Pwn2Own.
