Les « garçons en or » du village sécurisé

« Manger, dormir avec… des trous »

2023 est la 4e année que l'équipe Viettel participe au concours Pwn2Own et la gloire leur est vraiment revenue. Si la première compétition n'était qu'un simple entraînement, lors de la deuxième compétition (2021), l'équipe est entrée dans le top 5 et lors de la compétition 2022, l'équipe a perdu contre l'équipe championne avec regret, recevant le deuxième prix. Ngo Anh Huy (chef d'équipe) a partagé : « Pwn2Own est la compétition de cyberattaque la plus grande et la plus prestigieuse au monde, la « Coupe du monde » du monde de la sécurité avec un prix total pouvant atteindre des millions de dollars. Les cibles des attaques sont tous les appareils et logiciels populaires dans le monde, provenant de fournisseurs leaders tels que Microsoft, Apple, Google, Samsung, Xiaomi... ».

Compétition Pwn20wn Se déroulant du 24 au 27 octobre 2023 à Toronto (Canada), 14 garçons, dont le plus jeune n'a que 20 ans, sont déterminés à atteindre leur objectif de remporter le championnat. Au lieu de se concentrer sur la recherche de nombreuses vulnérabilités comme lors des concours précédents, dans ce concours, le groupe de jeunes ingénieurs a élaboré une stratégie méthodique, à la recherche d'erreurs que peu de gens ont découvertes et exploitées. L’une des choses qui préoccupe le plus le chef d’équipe Ngo Anh Huy est de savoir comment connecter les membres pour travailler en équipe (travail d’équipe). Durant les 2 dernières semaines avant la compétition, toute l'équipe a travaillé 20 heures par jour, mangeant et dormant presque sur place, devant préparer des rapports à envoyer au comité d'organisation et vérifier les mises à jour et corriger les vulnérabilités. « Les vulnérabilités peuvent être détectées et corrigées par le fabricant avant la compétition. Par conséquent, nous devons souvent trouver autant de vulnérabilités que possible et préparer des plans d'attaque de secours si nous voulons obtenir le score le plus élevé », a ajouté Ha Anh Hoang, membre du comité. Tout avait été soigneusement préparé, en attendant juste le jour du départ pour le Canada pour concourir, mais le plus regrettable fut qu'à l'approche de la date de la compétition, toute l'équipe n'avait toujours pas reçu de visa d'entrée. « Au lieu de concourir en personne, l'équipe Viettel a dû rester à la maison et concourir en ligne. C'est également un inconvénient par rapport à la compétition en personne, car nous ne pouvons vérifier l'équipement qu'à distance via une caméra. Si nous concourons en personne, nous pouvons consulter sur place ou demander aux organisateurs de vérifier immédiatement toute situation qui se présente. De plus, le processus en ligne peut avoir des problèmes inattendus liés aux machines et à l'équipement... », a raconté Hoang.

Une victoire époustouflante et convaincante

Après 3 mois à « manger, dormir et chercher des vulnérabilités », enfin, l'heure G est arrivée, l'équipe vietnamienne doit démontrer sa capacité à attaquer les vulnérabilités de sécurité en peu de temps. Nguyen Xuan Hoang, membre du jury, a déclaré : « Dans d'autres compétitions de sécurité, il n'y a généralement pas de limite de temps, mais dans cette compétition, nous devons démontrer que nous avons trouvé des vulnérabilités en 30 minutes. Pwn2Own rassemble les cibles et les appareils les plus avancés des principales entreprises technologiques et est installé avec les dernières versions logicielles. La tâche des équipes en compétition est de trouver des directions d'attaque et de trouver des vulnérabilités qui n'ont jamais été découvertes. » Chaque équipe ne peut pirater qu'une fois par cible. Plus la cible est difficile, plus le score est élevé. À la fin du concours, l’individu ou l’organisation ayant obtenu le score le plus élevé remportera le prix. « Notre plus grande inquiétude est qu'il y ait des erreurs en double ou que le constructeur ait découvert et corrigé les trous à temps. Les membres de l'équipe ont préparé différents trous. Plus nous avons de points pour la catégorie, plus nous devons nous préparer aux erreurs. Dans cette section, l'équipe a reçu tous les points et il n'y a pas eu d'erreurs en double comme l'année dernière où des points ont été déduits. Nous avons pleuré de joie », a déclaré Ha Anh Hoang. La partie la plus excitante était la finale SOHO Smashup (petit matériel de bureau). Le problème pour l'équipe est psychologique, car ils ont raté le championnat l'année dernière, donc ils sont un peu prudents. Même à ce moment-là, il y a eu des moments où les choses ne se sont pas déroulées comme prévu. Tout le monde transpirait d’inquiétude. Même si j'ai préparé 3 trous, j'ai échoué les 2 premières fois. Ce n'est qu'à la troisième fois qu'ils y sont parvenus que les membres ont éclaté de joie... Les adversaires ont eux aussi dû admirer la combativité tenace de l'équipe vietnamienne.

T. Tho

Bien que ce soit la première fois qu'il participait à la compétition, Dinh Quang Vu a apporté une contribution importante pour aider son équipe à remporter la catégorie vulnérabilité des téléphones portables. Il s’agit d’une nouvelle catégorie faisant son apparition dans le concours. Vu a partagé : « Notre équipe a choisi 2 appareils mobiles de Samsung et Xiaomi. Bien que nous ayons fait des recherches, que nous nous soyons préparés avec soin et que nous ayons passé les correctifs du fabricant avant le jour du concours, nous avons échoué au premier essai avec Samsung. Le sentiment à ce moment-là était étouffant et déchirant, heureusement, nous sommes restés calmes et avons réussi la compétition pour gagner avec les appareils mobiles Xiaomi. » Après 4 nuits de compétition intense avec les équipes les plus fortes de nombreux endroits du monde, à 1h00 du matin le 27 octobre, l'équipe Viettel a terminé avec succès la compétition avec un score total de 30, 12,75 points d'avance sur l'équipe classée deuxième. Les jeunes ingénieurs vietnamiens ont remporté de manière convaincante le championnat Pwn2Own, obtenant des scores parfaits dans les 7 catégories de compétition enregistrées, remportant un prix de 180 000 USD. Les produits jugés vulnérables incluent le Xiaomi 13 Pro, les systèmes de stockage QNAP, les imprimantes Canon, HP, Lexmark, les enceintes intelligentes Sonos et SOHO Smashup. Cette victoire marque également une nouvelle avancée pour l’industrie vietnamienne de la sécurité informatique, qui a remporté pour la première fois le championnat lors d’un prestigieux tournoi international. En plus des récompenses reçues lors de Pwn2Own, les jeunes ingénieurs de la société VSC ont également découvert plus de 400 vulnérabilités de sécurité Zero-day des principales plateformes et systèmes informatiques tels que Microsoft, Oracle, Google, Apache, VMWare...

Aspiration à conquérir de nouveaux sommets

Ne se reposant pas sur ses lauriers, après la compétition, l'équipe a commencé à se préparer pour la prochaine compétition prévue à Tokyo (Japon) début 2024 avec la détermination de conquérir de nouveaux sommets. Ha Anh Hoang a confié : « Pour obtenir la victoire d'aujourd'hui, nous avons conquis étape par étape, en passant du facile au difficile. La victoire de toute l'équipe est très convaincante, mais nous ne pouvons pas ignorer les adversaires de cette compétition, car en termes d'expertise, il y a des domaines de recherche, des capacités que les équipes étrangères ont, l'équipe Viettel ne peut pas faire. L'objectif immédiat de l'équipe est de trouver de nouveaux sujets de recherche, de trouver des vulnérabilités de sécurité des fournisseurs géants tels que : Apple, Google... Et l'objectif ultérieur est de devenir leader dans l'arène de la sécurité mondiale ». En tant que l'un des jeunes experts en sécurité au Vietnam reconnu par la communauté internationale, invité à travailler par de nombreuses entreprises technologiques célèbres avec un salaire de milliers de dollars, Ngo Anh Huy reste toujours avec l'équipe Viettel. « Pour moi, relever des défis ne consiste pas seulement à m'affirmer et à atteindre un nouveau classement en matière de sécurité, je veux rester au Vietnam pour continuer à écrire de nouvelles pages d'histoire dans le secteur de la sécurité de l'information avec des jeunes qui partagent la même passion, rendant le Vietnam célèbre dans les arènes internationales », a partagé Huy. Selon le colonel Tao Duc Thang, président du conseil d'administration et directeur général de Viettel, il ne s'agit pas d'une compétition pour trouver la bonne réponse, mais plutôt d'un jeu du « attrape le mot » où les jeunes ingénieurs doivent « se battre » avec les principaux fournisseurs et fabricants mondiaux d'équipements technologiques. Derrière les fournisseurs se cache un très grand groupe comme Canon, Xiaomi... Gagner n'est pas chose aisée car à la dernière minute les fournisseurs peuvent soudainement sortir des patchs, rendant les équipes concurrentes passives et incapables de réagir. Le colonel Tao Duc Thang a déclaré que gagner Pwn2Own 2023 n'était que le début. La route à parcourir pour les « white hat hackers » est encore longue car le domaine de la cybersécurité est très vaste, le cyberespace est vaste et de nombreux défis attendent les jeunes ingénieurs. Il n’y a pas que le domaine de l’IoT qui s’arrête, il y a aussi les domaines de l’industrie, de l’énergie, de l’électricité, de la sécurité… les jeunes ingénieurs ont l’opportunité de s’affirmer.