« Manger, dormir avec… des trous »

2023 est la 4e année que l'équipe Viettel participe au concours Pwn2Own et la gloire leur est vraiment revenue. Si la première compétition n'était qu'un simple entraînement, lors de la deuxième compétition (2021), l'équipe est entrée dans le top 5 et lors de la compétition 2022, l'équipe a malheureusement perdu contre l'équipe championne, recevant le deuxième prix. Ngo Anh Huy (chef d'équipe) a déclaré : « Pwn2Own est le plus grand et le plus prestigieux concours de cyberattaques au monde, la « Coupe du monde » de la sécurité, avec un prix total pouvant atteindre des millions de dollars. Les cibles des attaques sont tous les appareils et logiciels les plus populaires au monde, provenant de fournisseurs leaders tels que Microsoft, Apple, Google, Samsung et Xiaomi… ».

Compétition Pwn20wn Se déroulant du 24 au 27 octobre 2023 à Toronto (Canada), 14 garçons, dont le plus jeune n'a que 20 ans, sont déterminés à atteindre leur objectif de remporter le championnat. Au lieu de se concentrer sur la recherche de nombreuses vulnérabilités comme lors des concours précédents, dans ce concours, le groupe de jeunes ingénieurs a élaboré une stratégie méthodique, à la recherche d'erreurs que peu de gens ont découvertes et exploitées. L’une des choses qui préoccupe le plus le chef d’équipe Ngo Anh Huy est de savoir comment connecter les membres pour travailler en équipe (travail d’équipe). Durant les 2 dernières semaines avant la compétition, toute l'équipe a travaillé 20 heures par jour, mangeant et dormant presque sur place, devant préparer des rapports à envoyer au comité d'organisation et vérifier les mises à jour et corriger les vulnérabilités. « Les vulnérabilités peuvent être détectées et corrigées par le fabricant avant la concurrence. Par conséquent, nous devons souvent identifier le plus grand nombre de vulnérabilités possible et préparer des plans d'attaque de secours si nous voulons obtenir le meilleur score », a ajouté Ha Anh Hoang, membre de l'équipe. Tout avait été soigneusement préparé, en attendant juste le jour du départ pour le Canada pour concourir, mais le plus regrettable était qu'à l'approche de la date de la compétition, toute l'équipe n'avait toujours pas reçu de visa d'entrée. « Au lieu de concourir en direct, l'équipe Viettel a dû rester chez elle et concourir en ligne. C'est un autre inconvénient par rapport à la compétition en direct : nous ne pouvons vérifier le matériel qu'à distance, par caméra. En direct, nous pouvons consulter sur place ou demander aux organisateurs de vérifier immédiatement toute situation. De plus, le processus en ligne peut entraîner des problèmes inattendus liés aux machines et au matériel… », a expliqué Hoang.

Une victoire époustouflante et convaincante

Après 3 mois de « manger, dormir et chercher des vulnérabilités », enfin, l'heure G est arrivée, l'équipe vietnamienne doit démontrer sa capacité à attaquer les vulnérabilités de sécurité en peu de temps. Nguyen Xuan Hoang, membre du jury, a déclaré : « Dans les autres compétitions de sécurité, il n'y a généralement pas de limite de temps, mais dans celle-ci, nous devons démontrer notre capacité à identifier des vulnérabilités en 30 minutes. Pwn2Own rassemble les cibles et les appareils les plus avancés des grandes entreprises technologiques et est équipé des dernières versions logicielles. La tâche des équipes est de trouver des voies d'attaque et de détecter des vulnérabilités jamais découvertes. » Chaque équipe ne peut pirater qu'une seule fois par cible. Plus la cible est difficile, plus le score est élevé. À la fin du concours, l’individu ou l’organisation ayant obtenu le score le plus élevé remportera le prix. « Notre plus grande inquiétude est qu'il y ait des erreurs en double ou que le constructeur ait découvert et corrigé les failles à temps. Les membres de l'équipe ont préparé différentes failles. Plus nous avons de points dans la catégorie, plus nous devons anticiper les erreurs. Dans cette section, l'équipe a obtenu tous les points, sans erreurs en double comme l'année dernière où des points avaient été retirés. Nous avons pleuré de joie », a déclaré Ha Anh Hoang. La partie la plus excitante a été la finale du SOHO Smashup (petit matériel de bureau). Le problème pour l'équipe est psychologique, car ils ont raté le championnat l'année dernière, donc ils sont un peu prudents. Même à ce moment-là, il y a eu des moments où les choses ne se sont pas déroulées comme prévu. Tout le monde transpirait d’inquiétude. Même si j'ai préparé 3 trous, j'ai échoué les 2 premières fois. Ce n'est qu'à la troisième fois qu'ils y sont parvenus que les membres ont éclaté de joie... Les adversaires ont également dû admirer la combativité persistante de l'équipe vietnamienne.

T. Tho

Bien que ce soit la première fois qu'il participait à la compétition, Dinh Quang Vu a apporté une contribution importante pour aider son équipe à remporter la catégorie vulnérabilité des téléphones portables. Il s’agit d’une nouvelle catégorie apparaissant dans le concours. Vu a partagé : « Notre équipe a choisi deux appareils mobiles de Samsung et Xiaomi. Malgré nos recherches, notre préparation minutieuse et l'application des correctifs du fabricant avant le jour du concours, nous avons échoué du premier coup avec Samsung. À ce moment-là, le sentiment était étouffant et déchirant. Heureusement, nous sommes restés calmes et avons remporté la compétition avec les appareils mobiles Xiaomi. » Après 4 nuits de compétition intense avec les équipes les plus fortes de nombreux endroits du monde, à 1h00 du matin le 27 octobre, l'équipe Viettel a terminé avec succès la compétition avec un score total de 30, 12,75 points devant l'équipe classée deuxième. Les jeunes ingénieurs vietnamiens ont remporté de manière convaincante le championnat Pwn2Own, obtenant des scores parfaits dans les 7 catégories enregistrées, remportant un prix de 180 000 USD. Les produits concernés comprennent le Xiaomi 13 Pro, les systèmes de stockage QNAP, les imprimantes Canon, HP, Lexmark, les enceintes intelligentes Sonos et SOHO Smashup. Cette victoire marque également une nouvelle avancée pour l’industrie vietnamienne de la sécurité de l’information, qui a remporté pour la première fois le championnat lors d’un prestigieux tournoi international. En plus des récompenses décernées lors de Pwn2Own, les jeunes ingénieurs de la société VSC ont également découvert plus de 400 vulnérabilités de sécurité Zero-day des principales plateformes et systèmes informatiques tels que Microsoft, Oracle, Google, Apache, VMWare...

Aspiration à conquérir de nouveaux sommets

Ne se reposant pas sur ses lauriers, après la compétition, l'équipe a commencé à se préparer pour la prochaine compétition prévue à Tokyo (Japon) début 2024 avec la détermination de conquérir de nouveaux sommets. Ha Anh Hoang a confié : « Pour remporter la victoire d'aujourd'hui, nous avons progressé étape par étape, du plus facile au plus difficile. La victoire de toute l'équipe est très convaincante, mais nous ne pouvons ignorer les adversaires de cette compétition, car en termes d'expertise, certains domaines de recherche et certaines capacités sont inaccessibles aux équipes étrangères. L'objectif immédiat de l'équipe est de trouver de nouveaux sujets de recherche et de détecter les vulnérabilités de sécurité des fournisseurs géants tels qu'Apple et Google. L'objectif ultérieur est de devenir leader dans le domaine de la sécurité mondiale. » En tant que l'un des jeunes experts en sécurité au Vietnam reconnu par la communauté internationale, invité à travailler par de nombreuses entreprises technologiques célèbres avec un salaire de milliers de dollars, Ngo Anh Huy reste toujours avec l'équipe Viettel. « Pour moi, relever des défis ne consiste pas seulement à m'affirmer et à atteindre un nouveau classement en matière de sécurité, je veux rester au Vietnam pour continuer à écrire de nouvelles pages d'histoire dans le secteur de la sécurité de l'information avec des jeunes qui partagent la même passion, rendant le Vietnam célèbre dans les arènes internationales », a partagé Huy. Selon le colonel Tao Duc Thang, président du conseil d'administration et directeur général de Viettel, il ne s'agit pas d'une compétition pour trouver la bonne réponse, mais plutôt d'un jeu de « catch the word » où les jeunes ingénieurs doivent « se battre » avec les principaux fournisseurs et fabricants mondiaux d'équipements technologiques. Derrière les fournisseurs se cache un très grand groupe comme Canon, Xiaomi... Gagner n'est pas facile car à la dernière minute les fournisseurs peuvent soudainement sortir des patchs, rendant les équipes concurrentes passives et incapables de réagir. Le colonel Tao Duc Thang a déclaré que gagner Pwn2Own 2023 n'était que le début. La route à parcourir pour les « white hat hackers » est encore longue car le domaine de la cybersécurité est très vaste, le cyberespace est vaste et de nombreux défis attendent les jeunes ingénieurs. Il ne s’agit pas seulement de s’arrêter au domaine de l’IoT, il y a aussi les domaines de l’industrie, de l’énergie, de l’électricité, de la sécurité… les jeunes ingénieurs ont l’opportunité de s’affirmer.