Meta co-parraine Pwn2Own Ireland et met une récompense record d’un million pour une chaîne d’exploitation zéro clic visant WhatsApp. L’objectif est d’attirer les meilleurs chercheurs pour débusquer une faille critique avant qu’elle ne soit utilisée contre des milliards d’utilisateurs.
L’essentiel
- Prime d’un million pour une exécution de code sans interaction.
- Catégorie messageries recentrée sur WhatsApp, Meta en co-parrain.
- Démonstration exigée sur site à Cork, chaînes complètes et fiables.
- Règles précises, calendrier du 21 au 24 octobre à l’édition irlandaise.
- Enjeu de sécurité majeur pour entreprises et grand public connectés.
Pwn2Own revient à Cork avec une cible qui change l’échelle des récompenses et des attentes. Le concours cherche des démonstrations reproductibles et sûres, capables d’expliquer une compromission sans clic sur une messagerie utilisée à l’échelle planétaire.
Pourquoi un million pour WhatsApp
Le cap symbolique s’explique par la difficulté des attaques zéro clic et par l’impact potentiel sur un service central du quotidien. L’annonce officielle de la Zero Day Initiative précise une prime d’un million pour une exécution de code sans interaction sur WhatsApp, avec une montée en gamme de toute la catégorie messageries grâce au soutien de Meta, selon cette présentation de ZDI.
La barre financière vise à stimuler la recherche d’attaques complètes et fiables, suffisamment robustes pour éclairer les éditeurs et conduire à des correctifs rapides. Elle signale aussi une compétition accrue entre programmes de récompenses et concours publics.
Ce que signifie zéro clic et pourquoi c’est redouté
Un scénario zéro clic évite toute action de l’utilisateur, l’attaque se déclenche lors du simple traitement de données reçues. Ce profil supprime les signaux d’alerte habituels, ce qui en fait une classe d’exploits particulièrement recherchée par les équipes offensives et défensive.
La contrainte posée par Pwn2Own est claire, il faut une chaîne complète et stable, démontrée en conditions réelles, ce qui limite les faux positifs et encourage des travaux reproductibles et documentés.
Règles, calendrier et contraintes techniques
Le concours se déroule à Cork du 21 au 24 octobre, avec inscription préalable et démonstration sur place. Les catégories couvrent les mobiles, les messageries, les objets connectés et d’autres surfaces d’attaque, le tout encadré par un règlement détaillé disponible dans les règles officielles de ZDI.
L’édition 2025 introduit aussi des ajustements techniques, notamment des vecteurs supplémentaires côté mobile, ce qui impose des préparations méticuleuses et des scénarios d’attaque réalistes.
Le rôle de Meta et la dynamique de l’écosystème
Le co-parrainage de Meta met la focale sur WhatsApp et crédibilise le niveau de prime, avec un message clair aux chercheurs et aux éditeurs. Dans la presse spécialisée, l’annonce évoque explicitement l’objectif d’une chaîne zéro clic démontrable et l’élévation des récompenses pour cette cible, comme l’explique ce décryptage de BleepingComputer.
Cette dynamique reflète un mouvement plus large, les programmes publics rivalisent d’attractivité pour canaliser la divulgation responsable et réduire la fenêtre d’exposition avant correctif.
Impact pour les utilisateurs et les entreprises
Pour le grand public, l’intérêt est indirect mais réel, une prime record accélère l’identification de failles graves et la livraison de correctifs, ce qui renforce la sécurité globale des échanges. La portée du sujet et le cadrage grand public sont détaillés dans cette mise en perspective d’Infobae.
Pour les organisations, le signal est stratégique, les messageries chiffrées deviennent des priorités de durcissement, les équipes sécurité doivent anticiper la gestion de correctifs critiques et l’éventuelle rotation des politiques d’usage sur terminaux sensibles.
