Hackers exploit 29 zero-days on second day of Pwn2Own Automotive

2 minute de lecture

Mis à jour : January 22, 2026

Exploits Automobiles et Vulnérabilités Zéro-Jour Dévoilés

Lors du deuxième jour de la compétition Pwn2Own Automotive, des chercheurs en sécurité ont remporté 439 250 $ en exploitant 29 vulnérabilités inconnues (zéro-jour). Cet événement, qui se déroule à Tokyo dans le cadre de la conférence Automotive World, cible les chargeurs de véhicules électriques, les systèmes d’infodivertissement embarqués (IVI) et les systèmes d’exploitation automobiles.

À la fin du deuxième jour, Fuzzware.io menait le classement avec 213 000 $ de gains, notamment grâce à des attaques réussies sur des contrôleurs de charge Phoenix Contact CHARX SEC-3150, des chargeurs ChargePoint Home Flex et des stations de recharge Grizzl-E Smart 40A. D’autres équipes ont également été récompensées pour avoir compromis des systèmes de navigation Kenwood, des récepteurs multimédias Alpine et des distributions Linux automobiles comme Automotive Grade Linux.

Au total, après deux jours, les chercheurs ont accumulé 955 750 $ pour 66 vulnérabilités zéro-jour exploitées. L’un des exploits notables du premier jour a permis d’obtenir des privilèges root sur le système d’infodivertissement Tesla via une attaque par USB et une autre attaque a permis une exécution de code à distance sur un récepteur multimédia Sony.

Les constructeurs disposent de 90 jours pour corriger les failles découvertes avant que le Zero Day Initiative de Trend Micro ne les divulgue publiquement.

Points Clés :

29 nouvelles vulnérabilités zéro-jour exploitées le deuxième jour de Pwn2Own Automotive.
Des prix totalisant 439 250 $ attribués pour ces exploits.
Les cibles comprenaient des chargeurs VE, des systèmes IVI et des OS automobiles.
Des montants importants ont déjà été distribués, dépassant les 950 000 $ pour 66 failles.

Vulnérabilités (non spécifiées avec CVE dans l’article) :

Défauts exploitant des chaînes de vulnérabilités sur des systèmes variés (chargeurs, IVI, OS).
Une fuite d’information et une vulnérabilité d’écriture hors limites (out-of-bounds write) sur le système d’infodivertissement Tesla.
Des exploits ciblant la sécurité des systèmes de charge VE et des appareils multimédias embarqués.

Recommandations :

Les constructeurs doivent impérativement corriger les vulnérabilités signalées dans un délai de 90 jours.
La divulgation publique des vulnérabilités par le Zero Day Initiative mettra en évidence les risques potentiels pour les utilisateurs.
Il est crucial de maintenir les systèmes automobiles à jour pour se prémunir contre les menaces découvertes.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

Hackers exploit 29 zero-days on second day of Pwn2Own Automotive

Exploits Automobiles et Vulnérabilités Zéro-Jour Dévoilés

Partager sur

Vous pourriez aimer

UAT-10027 Targets U.S. Education and Healthcare with Dohdoor Backdoor

Campagne de cyberattaque : Dohdoor cible les secteurs de l’éducation et de la santé aux États-Unis

Trend Micro warns of critical Apex One code execution flaws

ThreatsDay Bulletin: Kali Linux + Claude, Chrome Crash Traps, WinRAR Flaws, LockBit & 15+ Stories

Tendances Récentes en Cybersécurité : Accélération des Attaques et Nouvelles Méthodes d’Infiltration

The CLAIR Model: A Synthesized Conceptual Framework for Mapping Critical Infrastructure Interdependencies [Guest Diary], (Wed, Feb 25th)