Publié le 5 octobre 2025. Le lancement d’un nouveau concours de piratage par la société de cybersécurité Wiz suscite la controverse en ligne, certains accusant l’entreprise d’avoir plagié les règles de compétitions établies, notamment celles de la Zero Day Initiative (ZDI) de Trend Micro.
Un nouveau concours de hacking dans le cloud, baptisé « Zero Day Cloud », a été annoncé par Wiz, une entreprise spécialisée dans la sécurité cloud qui est en cours d’acquisition par Google pour 32 milliards de dollars. Doté d’une cagnotte de 4,5 millions de dollars, ce challenge vise à récompenser les pirates capables de découvrir et d’exploiter des vulnérabilités critiques, telles que l’exécution de code à distance (RCE) à zéro clic ou des échappatoires, au sein de 20 projets open source utilisés par les grandes plateformes cloud. Les inscriptions sont ouvertes jusqu’au 1er décembre, et les participants dont les trouvailles seront validées par Wiz auront l’opportunité de présenter leurs démonstrations sur scène à Londres les 10 et 11 décembre, avec des récompenses allant de 10 000 $ à 300 000 $ selon la gravité de la faille.
Cependant, la création de ce concours a rapidement déclenché un débat sur les réseaux sociaux. Dustin Childs, responsable de la sensibilisation aux menaces chez la Zero Day Initiative (ZDI) de Trend Micro, a pointé du doigt des similitudes frappantes entre le règlement de Zero Day Cloud et celui de la compétition Pwn2Own, organisée par la ZDI. « Félicitations à Wiz pour avoir lancé votre propre concours », a-t-il publié, avant d’ajouter : « Mais euh… deviez-vous copier-coller des sections des règles de la Zero Day Initiative ? ».
L’accusation de plagiat a été accueillie par une vague de mèmes et de réactions en ligne, reprises notamment par Trend Micro. La société a d’ailleurs invité Wiz à participer à Pwn2Own Ireland, qui débutera le 21 octobre avec une prime d’un million de dollars pour une vulnérabilité RCE à zéro clic sur WhatsApp. « Apportez le meilleur de vous-même, mais peut-être ne copiez pas nos règles la prochaine fois », a ironisé Trend Micro.
Contacté par The Register, Wiz a refusé de répondre aux questions concernant l’origine de ses règles, se contentant de renvoyer vers une publication sur LinkedIn. Dans cette dernière, l’entreprise n’aborde pas directement les accusations de plagiat.
Lors d’un entretien accordé à The Register, Dustin Childs a précisé sa pensée. Initialement intrigués par le concours de Wiz, qu’ils considéraient comme une « compétition intéressante avec des cibles intéressantes », les chercheurs de la ZDI ont été surpris en découvrant les règles. « Nous dirons simplement qu’elles semblaient en grande partie empruntées aux règles de PWN2OWN », a-t-il déclaré. Il a notamment cité des similitudes dans les règles concernant le nombre de tentatives accordées aux participants (trois) et la durée de chaque essai (dix minutes). Bien que la ZDI ne revendique pas l’exclusivité sur la rédaction de règles pour des concours de hacking, Childs a souligné que chaque règle de Pwn2Own avait une histoire et une justification, élaborées au fil des 15 années d’existence du concours.
Malgré cette déception, Dustin Childs reste ouvert à l’idée de voir des innovations émerger de cette nouvelle compétition. « Toute compétition de piratage est une bonne chose », a-t-il affirmé. « J’espère que cela conduira à la correction des bugs avant qu’ils ne soient exploités dans la nature. C’est notre objectif. Et la concurrence stimule l’innovation. » Il se dit impatient de découvrir l’évolution des règles de Zero Day Cloud dans les mois à venir, et espère que Wiz parviendra à innover, voire que la ZDI pourra s’inspirer de leurs avancées. La communauté de la cybersécurité semble partager ce sentiment, considérant que la multiplication des concours de sécurité ne peut qu’être bénéfique pour l’écosystème.