Organisé chaque année depuis 2007, Pwn2Own est l’une des compétitions de cybersécurité les plus importantes et les plus prestigieuses au monde. Ici, des équipes de hackers white hat et de chercheurs en sécurité du monde entier s'affrontent pour trouver et exploiter des vulnérabilités zero-day (vulnérabilités de sécurité jamais connues auparavant) sur des appareils populaires tels que les smartphones, les caméras de sécurité, les équipements de bureau et les logiciels utilisés par de nombreuses entreprises.

Lors du Pwn2Own 2024, l'équipe de cybersécurité de Viettel a découvert et exploité 9 vulnérabilités zero-day sur des produits de HP, Canon, Synology, QNAP Systems... et a obtenu un total de 33 points, soit près du double de l'équipe classée deuxième, Team Cluck des États-Unis, avec 17,25 points. Viennent ensuite Midnight Blue d'Europe, Neodyme d'Allemagne et DEVCORE de Taiwan (Chine), qui ont tous participé et obtenu d'excellents résultats à Pwn2Own et à d'autres compétitions de sécurité.

La récompense pour chaque vulnérabilité trouvée est de 20 000 à 50 000 USD et le prix total chez Pwn2Own est d'environ 1 million USD, dont l'équipe de cybersécurité de Viettel a reçu plus de 200 000 USD. Les vulnérabilités découvertes par VCS aident également les fabricants à améliorer la sécurité des appareils, en évitant la divulgation d’images et de données des particuliers et des entreprises qui les utilisent.

Pwn2Own 2024 comporte huit catégories, axées sur les appareils intégrant l'intelligence artificielle (IA), exigeant des experts en sécurité non seulement qu'ils comprennent le code source, mais également qu'ils aient des connaissances sur la manière dont les systèmes d'IA stockent, traitent les données et fonctionnent dans les appareils. Ici, l'équipe de cybersécurité de Viettel a exploité avec succès les catégories de caméras de surveillance, d'enceintes intelligentes, d'imprimantes, de périphériques de stockage en réseau (NAS) et de routeurs de bureau (SOHO).

Le défi cette année est que la plupart des appareils d’IA disposent d’une détection et d’une authentification des utilisateurs basées sur l’apprentissage automatique, qui se mettent à jour et s’adaptent automatiquement pour détecter les comportements inhabituels, également connus sous le nom de protection dynamique. Par conséquent, il devient plus difficile de trouver des vulnérabilités et de prendre le contrôle des appareils.

Il s’agit également d’appareils développés par de grandes entreprises technologiques, soumis à des tests rigoureux et recevant des mises à jour de sécurité continues. Pwn2Own n’est donc pas seulement une compétition entre groupes de recherche en sécurité, mais aussi une « compétition » avec les grandes entreprises technologiques.

Sur chaque appareil, VCS étudie le code source et teste les scénarios d’attaque possibles. L'équipe identifie les vulnérabilités difficiles, avec peu de chances de duplication avec d'autres équipes, pour les démontrer en direct et obtenir l'accès ou le contrôle de l'appareil. (Les vulnérabilités en double ne sont pas considérées comme valides.)

Selon la propriété intellectuelle et l'innovation