Bug Bounty

🗞️ Contexte Article publié le 29 mai 2026 par TechCrunch (Lorenzo Franceschi-Bicchierai). Il couvre un conflit public entre Microsoft et un chercheur en sécurité indépendant opérant sous le pseudonyme “Nightmare Eclipse”, autour de la divulgation de plusieurs vulnérabilités non corrigées. 🔍 Faits rapportés Le chercheur Nightmare Eclipse a publié publiquement plusieurs vulnérabilités affectant des produits Microsoft, accompagnées de code d’exploitation (proof-of-concept) : BlueHammer RedSun UnDefend YellowKey Ces failles affectent notamment : Windows Defender (moteur antivirus intégré) BitLocker (outil de chiffrement de disque) Les vulnérabilités ont été publiées sur GitHub et GitLab, les deux comptes du chercheur ayant ensuite été bannis. Selon Microsoft et la CISA, certaines de ces vulnérabilités ont depuis été exploitées dans des attaques réelles. ...

📰 Source : BBC News, publié le 27 mai 2026. Article de presse généraliste couvrant la compétition Pwn2Own Berlin 2026 et les implications de l’IA sur la recherche en vulnérabilités. 🏆 Contexte compétitif La compétition Pwn2Own, organisée par la ZeroDay Initiative, a récompensé des hackers éthiques à Berlin. Près de 1,3 million de dollars ont été distribués pour 47 nouvelles méthodes de hacking découvertes sur divers logiciels et systèmes. La hackeuse Valentina Palmiotti (alias Chompie), chercheuse en sécurité chez IBM X-Force, a remporté 20 000 $ pour un hack lié à Nvidia et 50 000 $ pour une intrusion sur un système Linux. Le hacker Orange Tsai (Taiwan) a mené son équipe à gagner 375 000 $ grâce à des chemins d’attaque complexes. ...

🗓️ Contexte Article publié le 27 mai 2026 sur Tom’s Hardware, relatant un conflit public entre le chercheur en sécurité Nightmare-Eclipse (alias Chaotic Eclipse) et Microsoft/MSRC, ayant conduit à la publication de plusieurs zero-days Windows sans coordination de divulgation responsable. ⚔️ Conflit chercheur / éditeur Le différend a débuté début avril avec la publication sans préavis du zero-day BlueHammer. Eclipse affirme que Microsoft a refusé toute communication, supprimé son compte Microsoft utilisé pour les rapports de bugs, puis banni son compte GitHub. Il allègue également ne pas avoir reçu de paiement du programme MSRC Bug Bounty (qui prévoit des récompenses de 30 000 $ à 250 000 $ selon la criticité). Eclipse a migré vers GitLab suite au bannissement. ...

🏆 Contexte Source : BleepingComputer, publié le 18 mai 2026. La compétition Pwn2Own Berlin 2026 s’est tenue du 14 au 16 mai 2026 dans le cadre de la conférence OffensiveCon, organisée par la Zero Day Initiative (ZDI) de TrendMicro. Elle ciblait les technologies d’entreprise et l’intelligence artificielle. 💰 Résultats globaux 47 zero-days exploités au total 1,298,250 $ de récompenses distribuées Jour 1 : 523,000 $ pour 24 zero-days Jour 2 : 385,750 $ pour 15 zero-days Jour 3 : 389,500 $ pour 8 zero-days 🥇 Classement DEVCORE — 50,5 points, 505,000 $ (1er) STARLabs SG — 25 points, 242,500 $ Out Of Bounds — 12,75 points, 95,750 $ 🔓 Exploits notables Orange Tsai (DEVCORE) : 200,000 $ pour une chaîne de 3 bugs permettant une RCE avec privilèges SYSTEM sur Microsoft Exchange ; 175,000 $ supplémentaires pour un sandbox escape sur Microsoft Edge via 4 bugs logiques Valentina Palmiotti (IBM X-Force) : 70,000 $ pour un root sur Red Hat Linux for Workstations et un zero-day NVIDIA Container Toolkit Windows 11 : hacké à plusieurs reprises (LPE) Red Hat Enterprise Linux for Workstations : compromis plusieurs fois VMware ESXi : exploité via un bug de corruption mémoire Agents de codage IA : zero-days démontrés le jour 2 Microsoft SharePoint et Microsoft Exchange : ciblés par DEVCORE 📋 Catégories ciblées Navigateurs web, applications d’entreprise, élévation de privilèges locale, serveurs, inférence locale, environnements cloud-native/conteneurs, virtualisation, LLM ⏳ Divulgation responsable Conformément aux règles ZDI, les vendeurs disposent de 90 jours pour publier des correctifs avant la divulgation publique des vulnérabilités. ...

📅 Source et contexte : Article publié le 6 mai 2026 sur le blog HackerOne par Michiel Prins, Saida Wijpkema et Miray Mazlumoglu. Il fait suite à un précédent benchmark sur Claude Opus 4.7 et intervient après la sortie de GPT-5.5 par OpenAI. 🔬 Méthodologie : Les trois modèles (GPT-5.5, Claude Opus 4.7, Claude Sonnet 4.6) ont été évalués sur le même harness de validation interne de HackerOne, comprenant : Des CVEs publics sur des projets C/C++ (38 cas de test) Des rapports de vulnérabilités réels sur une application web (XSS, SQLi, SSRF, RCE, IDOR) Des rapports de qualité variable, incluant des soumissions fabriquées ou à impact surestimé GPT-5.5 a été évalué via le programme OpenAI Trusted Access for Cyber. ...

🗓️ Contexte Article publié le 22 avril 2026 sur le blog personnel de Daniel Stenberg, mainteneur principal du projet curl. Il s’agit d’une analyse de tendance basée sur l’observation directe des soumissions au programme de bug bounty de curl sur HackerOne, ainsi que d’un sondage informel auprès d’autres mainteneurs de projets open source. 📈 Tendance principale : volume et qualité en hausse simultanée Depuis le retour de curl sur HackerOne en mars 2026 (après une fermeture temporaire le 1er février 2026 due aux soumissions de faible qualité générées par IA), la nature des rapports a radicalement changé : ...

🗞️ Contexte Article d’opinion publié le 19 avril 2026 par Jessica Lyons sur The Register, portant sur la posture des grands éditeurs d’IA face aux vulnérabilités découvertes dans leurs produits. 🔍 Faits principaux Des chercheurs ont démontré que trois agents IA populaires intégrés à GitHub Actions peuvent être détournés pour voler des clés API et des jetons d’accès : Anthropic Claude Code Security Review Google Gemini CLI Action Microsoft GitHub Copilot Les trois éditeurs ont versé des bug bounties : ...

🗓️ Contexte Article publié le 26 mars 2026 par The Register, basé sur une interview de Greg Kroah-Hartman, mainteneur historique du noyau Linux, lors d’un déjeuner presse à KubeCon Europe. L’article rapporte ses observations sur l’évolution de l’utilisation de l’IA dans la sécurité et la revue de code du noyau Linux et des projets open source en général. 📈 Changement brutal de qualité des rapports IA Kroah-Hartman décrit un point d’inflexion survenu il y a environ un mois : les rapports de sécurité générés par IA, auparavant qualifiés d’« AI slop » (rapports de mauvaise qualité, manifestement erronés), sont devenus réels et exploitables. Ce phénomène n’est pas limité au noyau Linux : il touche tous les projets open source majeurs, selon les échanges informels entre équipes de sécurité. ...

📰 Source : ITSocial.fr — Date : 30 mars 2026 — Contexte : Annonce produit de YesWeHack, opérateur européen de bug bounty fondé il y a dix ans, qui repositionne sa plateforme vers la gestion globale de l’exposition cyber. 🔄 Évolution du positionnement YesWeHack, jusqu’alors principalement connu pour ses programmes de bug bounty et sa politique de divulgation des vulnérabilités (VDP), lance deux nouvelles offres de test d’intrusion pour couvrir l’intégralité du cycle de gestion de l’exposition aux risques cyber. La plateforme réunit désormais quatre modalités dans une interface unifiée : ...

Selon The Verge, DJI a décidé de récompenser de 30 000 $ le chercheur Sammy Azdoufal après la mise en lumière d’un accès à un réseau d’environ 7 000 aspirateurs robots Romo, tout en précisant avoir déjà corrigé une faille de visualisation de flux vidéo sans PIN et en préparer d’autres correctifs. • Paiement et attribution 🎁 — DJI confirme avoir « récompensé » un chercheur (sans le nommer) et, d’après l’email partagé avec The Verge, versera 30 000 $ pour une seule découverte, sans préciser laquelle. Ce développement intervient après la révélation mi-février d’un accès à des milliers de Romo permettant d’observer l’intérieur de foyers. ...