À 1h00 du matin le 27 octobre, dans la salle encore éclairée de la société de cybersécurité Viettel (VCS), 14 membres de l'équipe VCS ont explosé de joie : l'équipe a remporté le championnat du plus grand et du plus prestigieux concours de cyberattaque au monde Pwn2Own 2023.
Ce n’était pas seulement le résultat attendu de trois mois de travail continu jour et nuit de toute l’équipe et d’une compétition acharnée contre les adversaires les plus forts du monde entier !
Ce n'est pas seulement le premier fruit sucré pour le plus jeune membre de l'équipe, Do Anh Dung, né en 2003, actuellement étudiant en 3ème année à l'Université de Technologie (VNU) !
Ce n'est pas seulement l'envie d'atteindre la plus haute position de la compétition pour des membres tels que Ngo Anh Huy, Nguyen Xuan Hoang, Nguyen Hong Quang... qui s'essayent à ce tournoi depuis plusieurs années !
C’est également un honneur d’amener le pays à la plus haute position dans l’une des compétitions les plus prestigieuses au monde, affirmant la capacité du peuple vietnamien dans le domaine de la sécurité et de la sûreté de l’information.
Et surtout, c'est le « fruit sucré » récolté à partir des graines que Viettel a résolument plantées il y a de nombreuses années. À ce jour, Viettel, avec VCS et une équipe d'experts en sécurité de l'information en main, peut être fière d'être l'une des entreprises leaders mondiales en matière de sécurité et de sûreté de l'information.
Les 14 membres de l'équipe VCS qui a remporté le championnat Pwn2Own 2023 sont tous très jeunes. La plupart des membres sont issus de la génération 9x, le plus jeune membre est né en 2003.
Mais la plupart des membres de l'équipe ont de nombreuses années de « combat », disposent d'une riche expérience et de réalisations dans le domaine de la sécurité et de la sûreté de l'information. Même le plus jeune membre de l'équipe, Do Anh Dung, a pu s'affirmer : Dung a été celui qui a créé un miracle dans cette compétition, en remportant une catégorie pour contribuer aux résultats globaux de toute l'équipe.
À l'issue de la ronde finale, le soir du 27 octobre, l'équipe de Viettel Cyber Security (VCS) a officiellement remporté la plus haute victoire avec 30 points Master of Pwn, laissant l'écart avec l'équipe classée deuxième à 12,75 points.
Avec ce score convaincant, VCS a établi le titre de champion face à de nombreux adversaires internationaux, considérés comme de solides candidats au championnat du tournoi tels que Sea Security (Singapour), Vupen, Synacktiv (France) et Devcore (Taïwan - équipe championne de l'année dernière)...
Parlant des défis rencontrés lors de la préparation de la compétition, Ha Anh Hoang, membre de l'équipe VCS, a déclaré : Trois mois avant la compétition, le comité d'organisation a annoncé les appareils à conquérir. Le temps de préparation n'a donc été que de trois mois, car l'équipe a ensuite pu acheter du matériel pour effectuer ses recherches. Beaucoup de ces appareils doivent être importés de l’étranger et mettent des mois à arriver au Vietnam.
Selon un autre membre de l'équipe, Nguyen Xuan Hoang, « la compétition compte des concurrents qui participent depuis longtemps. Ils ont beaucoup d'expérience et il y a aussi des concurrents très forts, tant sur le plan économique que professionnel. L'équipe du VCS a décidé que nous devions participer à la compétition avec la préparation la plus minutieuse, la solidarité et une stratégie de compétition appropriée pour obtenir le plus grand succès lors de la compétition de cette année. »
Hoang a ajouté que l'année dernière, l'équipe VCS avait remporté la deuxième place de cette compétition avec un score très proche de celui de l'équipe championne, ne perdant que de 2,5 points. Cette année, l’équipe est donc déterminée à viser le championnat.
Mais le chemin vers le championnat n'est pas simple : les cibles d'attaque dans cette compétition sont tous les appareils et logiciels populaires dans le monde, des principaux fabricants tels que Microsoft, Apple, Google, Samsung... - a partagé Nguyen Xuan Hoang.
Pour répondre aux exigences du concours, l'appareil devait être commandé aux États-Unis, mais par un simple moment d'inattention, l'appareil est « mort » car il utilisait une source d'alimentation de 110 V adaptée au marché américain, tandis que le Vietnam utilise du 220 V.
Selon Ngo Anh Huy, un membre qui a participé à cette compétition à quatre reprises, la plus grande crainte de l'équipe est la duplication des erreurs ou le fait que le fabricant n'ait pas le temps de corriger les failles de sécurité enregistrées par l'équipe. L'année dernière, l'équipe Viettel a participé à la compétition et n'a remporté que la deuxième place en raison d'une déduction de points due à une échappatoire en double.
De plus, le défi a été lancé à la dernière minute, en raison du retard du visa, et toute l'équipe n'a pas pu se rendre à Toronto (Canada) à temps pour concourir en direct. Au lieu de cela, les 14 membres de l'équipe VCS ont dû concourir en ligne avec beaucoup d'anxiété concernant d'éventuels problèmes qui ne pourraient pas être résolus pendant la compétition...
Mais le résultat final en dit long… Non seulement l’équipe VCS a gagné, mais elle a aussi gagné de manière spectaculaire.
« Lorsque nous avons remporté la finale dans la catégorie des 10 points les plus élevés, toute l'équipe a éclaté de joie et de bonheur parce que nous avions prouvé que ce championnat était une victoire convaincante, sans aucun doute » - Nguyen Xuan Hoang a fièrement rappelé ce moment.
Après avoir participé continuellement à Pwn2Own au cours des quatre dernières années, l'équipe VCS a remporté le trophée du championnat Pwn2Own pour la première fois. Il s'agit d'un concours d'attaques de logiciels et d'électronique grand public organisé deux fois par an par l'organisation de cybersécurité Zero Day Initiative, l'un des concours de cybersécurité les plus « difficiles » au monde aujourd'hui.
M. Nguyen Son Hai, directeur de VCS, a déclaré qu'en 2020, Viettel a remporté sa première victoire dans ce « terrain de jeu » avec la catégorie SmartTV. En 2021, Viettel est entrée dans le Top 5. En 2022, elle était à la deuxième place. Et cette année, il s'agit de se lever pour remporter le championnat avec un nombre de points écrasant.
Les concurrents de Pwn2Own ne sont pas seulement des groupes de cybersécurité célèbres dans le monde, mais également de grands fabricants et des sociétés technologiques du monde entier. Chaque examen posera des questions sur des logiciels ou des périphériques matériels populaires tels que le système d'exploitation Windows, les téléphones Apple, Xiaomi, Samsung ou les imprimantes Canon, HP...
Les équipes s'affrontent pour trouver des vulnérabilités de sécurité inconnues dans les logiciels et les appareils et doivent démontrer l'exploitation en direct de ces vulnérabilités dans un délai de 30 minutes.
« Pourquoi pouvons-nous dire que les adversaires ne sont pas seulement d'autres groupes d'experts en sécurité, mais aussi des fabricants d'appareils tels qu'Apple, Xiaomi, Canon, TP Link... parce qu'ils détestent être connus pour avoir des vulnérabilités dans leurs appareils, perdant la confiance des clients. Ces fournisseurs d'appareils ont toujours une équipe de sécurité et sont prêts à payer de grosses sommes d'argent pour corriger les bugs de leurs produits avant que la compétition n'ait lieu afin que les produits ne soient pas déshonorés devant le public », a partagé avec Tuoi Tre l'expert Nguyen Hong Quang, membre de l'équipe VCS.
La compétition sera donc passionnante de l’ouverture à la dernière minute. Car il est tout à fait possible que des vulnérabilités soient découvertes par des équipes en compétition, mais que le fabricant les corrige soudainement juste avant le jour de la compétition, ce qui fait perdre à l'équipe tous ses efforts et ses réalisations.
« Par conséquent, plus près du moment de la performance, nous avons dû travailler jour et nuit pour « surveiller » si les vulnérabilités que nous avions découvertes existaient toujours, et surveiller de près le fabricant pour voir s'il avait corrigé les bugs que nous avions découverts », a déclaré Ngo Anh Huy, un joueur expérimenté de Pwn2Own de l'équipe VCS.
Le concours Pwn2Own 2023 de Toronto se concentre sur le matériel, notamment sur des catégories telles que les téléphones mobiles, les haut-parleurs intelligents, les systèmes de surveillance, les systèmes de stockage en réseau et l'électronique de bureau. Chaque catégorie a un prix de 30 000 à 100 000 USD et un score de 2 à 10 points selon la difficulté de l'attaque de l'appareil et le niveau d'achèvement de la démonstration d'attaque.
La catégorie finale, celle qui rapporte le plus de prix et de points, est celle du mash-up, qui demande aux équipes d'exécuter un code d'exploitation sur l'un des routeurs réseau du concours et d'attaquer ainsi un appareil dans les catégories susmentionnées, pour un prix de 100 000 $ et 10 points.
Après avoir complété les catégories individuelles, en attaquant avec succès le téléphone Xiaomi 13 Pro, le système de stockage QNAP TS 464, l'imprimante Canon imageClass MF753Cdw, l'enceinte Sonos Era 100, l'équipe VCS a marqué 20 points, presque certaine de remporter le championnat car l'adversaire Sea Security n'a marqué que 17,25 points, après avoir complété toutes les catégories individuelles et la catégorie combinée.
La pression de la compétition n'est plus trop forte, mais la catégorie finale hante les ingénieurs du VCS car le manque de points dans la manche mash-up est la raison pour laquelle ce groupe a raté le championnat l'année dernière. « Cette fois, en entrant dans la catégorie smash-up, nous continuons à être désavantagés lors du tirage au sort pour le tour suivant. Si nous avons le même trou que l'équipe précédente, nous serons déduits des points », a expliqué Ngo Anh Huy. Une telle erreur en double a fait perdre 2,5 points à VCS par rapport à l'équipe classée première au Pwn2Own de l'année dernière.
« Cette année, nous avons non seulement essayé d'exploiter de nouvelles vulnérabilités, mais nous avons aussi délibérément choisi des vulnérabilités très difficiles à trouver et difficiles à exploiter avec d'autres équipes, ou faciles à trouver mais difficiles à exploiter, tout en ayant de nombreux plans de secours. C'est le résultat de trois mois de recherche ciblée de toute l'équipe », a déclaré Huy.
En conséquence, l'équipe VCS a obtenu 10/10 points dans la catégorie combinée et a remporté le championnat général avec un score total de 30, surpassant le finaliste de 12,5 points, gagnant de manière spectaculaire et complète.
« Nous avons choisi Pwn2Own pour participer à la compétition car il s'agit d'une compétition qui porte sur les appareils les plus populaires au monde, issus des principaux fabricants et soumise à un processus de test rigoureux », a déclaré M. Nguyen Son Hai, directeur de VCS. « Investir dans une équipe de recherche spécialisée et concourir sur la scène internationale fait partie des efforts de VCS pour développer les ressources humaines. »
Le parcours de l'équipe VCS vers le championnat Pwn2Own 2023 est le résultat d'un long voyage, d'un héritage, d'une démonstration vivante de la vision d'il y a de nombreuses années des dirigeants du groupe Viettel dans le domaine de la sécurité de l'information.
Il y a plus de dix ans, lorsque le directeur du VCS, Nguyen Son Hai, avait encore le même âge que les membres de l'équipe championne Pwn2Own 2023, les dirigeants du groupe Viettel étaient déterminés à investir dans le domaine de la sécurité de l'information.
Les premières graines d’un jeune champ furent bientôt plantées et entretenues par Viettel de manière systématique et stratégique.
Le parcours de recherche approfondie du VCS a commencé dès ses premières années, avec seulement six personnes travaillant initialement sur la sécurité de l'information. Depuis 2011, l’équipe du VCS a mené des simulations d’attaques avec des unités du groupe Viettel pour démontrer les problèmes de sécurité.
« En raison de l'exploitation d'infrastructures critiques, Viettel a une vision de recherche qui considère la sécurité du réseau comme un pilier », a déclaré M. Son Hai. « En matière de cybersécurité, les personnes sont le facteur le plus important. Même en utilisant les meilleurs produits du monde, mais uniquement en tant qu'utilisateur final, le risque d'être attaqué reste très élevé, tandis que les infrastructures critiques de Viettel, telles que la téléphonie mobile et Internet, sont la cible d'attaques menées par les plus grands groupes du monde. »
Afin de disposer d’une équipe d’experts pour protéger les infrastructures critiques, le VCS vise à former des ressources humaines en cybersécurité avec des capacités équivalentes à celles du monde. Depuis 2015, Viettel et VCS ont formé 450 étudiants, dont 5% des ressources humaines les plus adaptées ont été recrutées pour continuer à travailler, a déclaré M. Hai.
« Après avoir constitué une équipe d'experts et investi dans des recherches approfondies, nous continuons à trouver des moyens d'investir pour améliorer les compétences offensives de l'équipe d'experts du VCS. La participation à des compétitions de classe mondiale a également cet objectif », a déclaré M. Nguyen Son Hai.
En 2013, VCS a commencé à rechercher les vulnérabilités zero-day, qui sont inconnues et non corrigées et donc les plus coûteuses, et Anh Huy et Hong Quang ont été deux des premiers experts. En 2015, l’équipe VCS a découvert les premières vulnérabilités et à ce jour, le nombre de vulnérabilités trouvées par VCS a atteint 400.
« Aucune entreprise vietnamienne n'a atteint un tel nombre, et encore moins dans le monde », a déclaré M. Hai.
La possibilité d'apprendre grâce à des recherches approfondies est ce qui fait de VCS un lieu de travail si attrayant pour les professionnels de la cybersécurité qui ont récemment remporté la première place à Pwn2Own. Lorsqu'on lui a demandé pourquoi il avait choisi Viettel, Anh Huy a déclaré : « D'après mon expérience, peu d'entreprises sont prêtes à investir à long terme dans la recherche et les groupes de recherche en cybersécurité. »
« En particulier dans le domaine de la cybersécurité, le facteur humain est le plus important. Par conséquent, VCS est toujours conscient de la formation, de l'amélioration de l'équipe et de la constitution de la prochaine génération de personnel hautement qualifié, toujours prêt à affronter les problèmes internationaux », a souligné le directeur de VCS, Nguyen Son Hai.
Lors de la cérémonie d'honneur et de félicitations aux membres de l'équipe participant au concours, le président-directeur général du groupe Viettel, Tao Duc Thang, a exprimé sa fierté envers les « hackers au chapeau blanc » de Viettel. Il a affirmé : « Viettel est fier que le groupe VCS ait remporté un prix prestigieux dans le domaine de la cybersécurité mondiale, « en concurrence » avec les principaux fabricants d'équipements mondiaux dotés de grandes unités de R&D. »
Le patron du groupe Viettel a estimé que « Pwn2Own est une compétition prestigieuse avec un niveau de difficulté très élevé pour tout hacker. La compétition s'apparente à une « bataille » avec des fabricants qui possèdent les meilleures équipes de sécurité informatique du monde, prêtes à répondre aux hackers jusqu'à la dernière minute. Un jeu sans limite d'âge, et qui peut même être multinational… ». C'est pourquoi M. Tao Duc Thang a déclaré : « Le championnat Pwn2Own 2023 a rendu Viettel et le Vietnam célèbres sur la scène internationale », a fièrement déclaré le président du groupe.
Le président Tao Duc Thang a également reconnu que le domaine de la cybersécurité est vaste, que la route est longue pour les experts de Viettel et que de nombreux défis restent à relever.
« Maintenir la position de Top 1 n'est pas facile, nous devons donc continuer à travailler plus dur et avoir de grands rêves, en aspirant constamment à transformer les rêves en réalité pour amener le Vietnam au monde », a souligné M. Tao Duc Thang.
Le président du groupe Viettel a également partagé que dans les temps à venir, le groupe aura des politiques spécifiques pour former des ressources humaines de haute qualité, afin qu'elles puissent continuer à se consacrer en toute confiance à leur travail.
En confiant cette tâche au VCS, M. Tao Duc Thang a souligné que le VCS doit continuer à former davantage d'experts en sécurité, déterminé à former les prochaines générations avec les meilleures bases pour servir non seulement l'entreprise mais aussi le pays, en protégeant la nation dans le cyberespace.
![[Photo] Le Premier ministre Pham Minh Chinh préside une conférence gouvernementale avec les localités sur la croissance économique](https://vstatic.vietnam.vn/vietnam/resource/IMAGE/2025/2/21/f34583484f2643a2a2b72168a0d64baa)
Comment (0)