Viettel « Hacker » marque l'histoire de la carte du monde

Peu après 1h du matin le 27 octobre, dans la salle éclairée de Viettel Cyber ​​Security Company (VCS), les 14 membres de l'équipe VCS ont explosé de joie : l'équipe avait remporté le championnat de la plus grande et la plus prestigieuse compétition de cyberattaque au monde, Pwn2Own 2023.

Il ne s'agit pas seulement du résultat attendu de trois mois de travail continu, jour et nuit, de la part de toute l'équipe, mais aussi d'une compétition acharnée contre les adversaires les plus forts du monde entier !

Il ne s'agit pas seulement de la première douce récompense pour le plus jeune membre de l'équipe, Do Anh Dung, né en 2003, qui est actuellement étudiant en troisième année à l'Université de Technologie (VNU Hanoi) !

Il ne s'agit pas seulement du désir d'atteindre le sommet de la compétition pour des membres comme Ngo Anh Huy, Nguyen Xuan Hoang, Nguyen Hong Quang… qui tentent leur chance à ce tournoi depuis plusieurs années d'affilée !

Ce fut également un exploit glorieux de remporter la première place pour le pays dans l'une des compétitions mondiales les plus prestigieuses, confirmant les capacités du peuple vietnamien dans le domaine de la sécurité et de la sûreté de l'information.

Et surtout, c'est le fruit d'un travail acharné mené par Viettel depuis de nombreuses années. Aujourd'hui, grâce à VCS et à son équipe d'experts en sécurité de l'information, Viettel peut affirmer avec fierté être l'une des entreprises leaders mondiales en matière de sécurité et de sûreté de l'information.

Les 14 membres de l'équipe VCS qui a remporté le championnat Pwn2Own 2023 sont tous très jeunes. La plupart d'entre eux sont nés dans les années 90, le plus jeune étant né en 2003.

Mais la plupart des membres de l'équipe possèdent des années d'expérience et un palmarès impressionnant dans le domaine de la sécurité informatique. Même le benjamin, Do Anh Dung, a fait ses preuves : il a réalisé un véritable exploit lors de cette compétition, remportant une catégorie et contribuant ainsi au succès global de l'équipe.

En concluant la dernière catégorie de compétition le soir du 27 octobre, l'équipe de Viettel Cyber ​​Security (VCS) a officiellement remporté la première place avec 30 points Master of Pwn, laissant l'équipe de deuxième place loin derrière avec 12,75 points.

Grâce à ce score convaincant, VCS a décroché le titre de champion devant de nombreux adversaires internationaux, considérés comme de sérieux prétendants au titre, tels que Sea Security (Singapour), Vupen, Synacktiv (France) et Devcore (Taïwan - champion de l'année dernière)...

Évoquant les difficultés rencontrées lors de la préparation de la compétition, Ha Anh Hoang, membre de l'équipe VCS, a déclaré : « Trois mois avant la compétition, les organisateurs ont seulement annoncé le matériel à maîtriser. Nous n'avions donc que trois mois pour nous préparer, car c'était le délai imparti à l'équipe pour acheter le matériel d'étude. De nombreux équipements ont dû être importés et ont mis des mois à arriver au Vietnam. »

Selon Nguyen Xuan Hoang, membre de l'équipe, « La compétition réunit des concurrents aguerris, forts d'une longue expérience et d'une grande solidité financière et professionnelle. L'équipe VCS est déterminée à aborder cette compétition avec une préparation optimale, une cohésion sans faille et une stratégie adaptée afin d'obtenir les meilleurs résultats possibles. »

Hoang a également indiqué que l'année dernière, l'équipe VCS avait terminé deuxième de cette compétition, avec un score très proche de celui du champion, ne s'inclinant que de 2,5 points. L'équipe est donc déterminée à remporter le championnat cette année.

Mais le chemin vers le championnat n'est pas simple : les cibles des attaques dans cette compétition sont toutes des applications et des logiciels populaires dans le monde entier, provenant de fabricants leaders tels que Microsoft, Apple, Google, Samsung… - a expliqué Nguyen Xuan Hoang.

Pour répondre aux exigences du concours, l'appareil a dû être commandé aux États-Unis, mais un moment d'inattention a provoqué un dysfonctionnement car il utilisait une alimentation de 110 V adaptée au marché américain, alors que le Vietnam utilise une alimentation électrique de 220 V.

Selon Ngo Anh Huy, membre de l'équipe ayant participé quatre fois à cette compétition, la plus grande crainte de l'équipe est la duplication des vulnérabilités ou la correction rapide par le fabricant des failles de sécurité qu'elle a identifiées. L'année dernière, l'équipe Viettel n'a remporté que la deuxième place, pénalisée pour avoir présenté une vulnérabilité dupliquée.

De plus, des difficultés de dernière minute sont apparues, les procédures de visa ayant été retardées, empêchant toute l'équipe de se rendre à Toronto (Canada) à temps pour la compétition en présentiel. Les 14 membres de l'équipe VCS ont donc dû concourir en ligne, constamment préoccupés par d'éventuels problèmes qui pourraient ne pas être résolus à temps pendant le match…

Mais le résultat final parle de lui-même… Non seulement l’équipe VCS a remporté le championnat, mais elle a également réalisé une victoire spectaculaire.

« Lorsque nous avons remporté la finale dans la catégorie des 10 meilleurs, toute l'équipe a explosé de joie et de bonheur car nous avions prouvé que ce championnat était une victoire convaincante, ne laissant aucune place au doute », se souvient fièrement Nguyen Xuan Hoang.

Après avoir participé à Pwn2Own pendant quatre années consécutives, l'équipe VCS a enfin remporté le trophée du championnat pour la première fois. Ce concours de piratage de logiciels et d'électronique grand public, organisé deux fois par an par l'organisation de cybersécurité Zero Day Initiative, est considéré comme l'une des compétitions de cybersécurité les plus difficiles au monde.

M. Nguyen Son Hai, directeur de VCS, a déclaré qu'en 2020, Viettel avait remporté sa première victoire dans cette compétition, dans la catégorie des téléviseurs connectés. En 2021, Viettel s'est hissé dans le Top 5. En 2022, il a décroché la deuxième place. Et cette année, il a remporté le titre de champion avec un score impressionnant.

La compétition Pwn2Own réunit non seulement des équipes de cybersécurité de renommée mondiale, mais aussi de grands fabricants et entreprises technologiques internationaux. Chaque épreuve propose des défis liés à des logiciels ou des matériels populaires, tels que le système d'exploitation Windows, les téléphones Apple, Xiaomi et Samsung, ou encore les imprimantes Canon et HP.

Les équipes doivent s'affronter pour trouver des failles de sécurité jusqu'alors inconnues dans les logiciels et les appareils, puis démontrer comment exploiter ces failles en direct en 30 minutes.

« Pourquoi peut-on affirmer que les concurrents ne sont pas seulement d'autres groupes d'experts en sécurité, mais aussi des fabricants d'appareils comme Apple, Xiaomi, Canon, TP-Link… ? Parce qu'ils redoutent d'être accusés de failles de sécurité dans leurs appareils, ce qui nuirait à la confiance des consommateurs. Ces fournisseurs disposent toujours d'une équipe de sécurité et sont prêts à investir massivement pour corriger les bugs de leurs produits avant la compétition, afin d'éviter toute atteinte à leur réputation », a déclaré Nguyen Hong Quang, membre de l'équipe VCS, au journal Tuoi Tre .

La compétition sera donc intense dès la publication des questions et jusqu'à la dernière minute. Il est tout à fait possible que des équipes découvrent des failles, mais les développeurs les corrigeront inopinément juste avant le jour J, anéantissant ainsi tous les efforts et les succès d'une équipe.

« Par conséquent, à l'approche de l'heure de la performance, nous avons dû nous répartir en équipes de jour et de nuit pour "surveiller" si les vulnérabilités que nous avions découvertes existaient toujours, et suivre de près les producteurs pour voir s'ils avaient corrigé les bugs que nous avions trouvés », a déclaré Ngo Anh Huy, un joueur chevronné de Pwn2Own de l'équipe VCS.

L'édition 2023 du concours Pwn2Own Toronto est axée sur le matériel informatique, notamment les téléphones portables, les enceintes connectées, les systèmes de surveillance, les systèmes de stockage réseau et les appareils de bureau. Chaque catégorie offre des prix allant de 30 000 $ à 100 000 $ et un système de notation de 2 à 10 points, selon la difficulté du piratage et la qualité de la démonstration.

Le prix le plus précieux, tant en termes de récompense que de points, est celui de la catégorie finale, un mash-up, qui exige des équipes qu'elles exécutent un code d'exploitation sur l'un des routeurs réseau fournis dans le cadre de la compétition et qu'elles attaquent ainsi un appareil appartenant aux catégories susmentionnées, avec un prix de 100 000 $ et 10 points.

Après avoir accompli les tâches individuelles et attaqué avec succès les téléphones Xiaomi 13 Pro, les systèmes de stockage QNAP TS 464, les imprimantes Canon imageClass MF753Cdw et les haut-parleurs Sonos Era 100, l'équipe VCS a obtenu 20 points, s'assurant presque le championnat, tandis que son adversaire, Sea Security, n'a atteint que 17,25 points après avoir accompli les tâches individuelles et combinées.

Si la forte pression compétitive s'est apaisée, la dernière épreuve continue de hanter les ingénieurs de VCS, car un manque de points lors du défi de mash-up leur a fait rater le championnat l'an dernier. « Cette fois-ci, en participant à l'épreuve de mash-up, nous étions à nouveau désavantagés, car nous avons été tirés au sort pour concourir plus tard. Si nous commettions la même erreur que l'équipe précédente, nous perdrions des points », a expliqué Ngo Anh Huy. Cette erreur répétée a permis à VCS de terminer à 2,5 points de l'équipe gagnante du tournoi Pwn2Own de l'année dernière.

« Cette année, nous avons non seulement cherché à exploiter de nouvelles vulnérabilités, mais nous avons aussi délibérément choisi des vulnérabilités très difficiles à trouver et peu susceptibles d'être reproduites par d'autres équipes, ou encore des vulnérabilités faciles à trouver mais difficiles à exploiter, et qui disposaient de nombreuses options de repli. C'est le fruit de trois mois de recherche approfondie menée par toute l'équipe », a déclaré Huy.

En conséquence, l'équipe VCS a obtenu un score parfait de 10/10 dans la catégorie combinée et a remporté le championnat général avec un total de 30 points, surpassant largement le finaliste de 12,5 points, assurant ainsi une victoire spectaculaire et complète.

« Nous avons choisi Pwn2Own pour mettre nos compétences à l'épreuve car il s'agit d'une compétition portant sur les appareils les plus populaires au monde, provenant de fabricants de premier plan et soumise à des procédures de test rigoureuses », a déclaré M. Nguyen Son Hai, directeur de VCS. « Investir dans une équipe de recherche spécialisée et tester nos compétences à l'échelle internationale fait partie intégrante des efforts déployés par VCS pour développer ses ressources humaines. »

Le parcours de l'équipe VCS jusqu'au championnat Pwn2Own 2023 est l'aboutissement d'un long et fructueux effort, un témoignage éloquent de la vision de longue date du leadership du groupe Viettel dans le domaine de la sécurité de l'information.

Il y a plus de dix ans, alors que Nguyen Son Hai, directeur de VCS, avait le même âge que les membres de l'équipe championne de Pwn2Own 2023 aujourd'hui, la direction du groupe Viettel était déterminée à investir dans le domaine de la sécurité de l'information.

Les premières graines d'un champ naissant ont été semées très tôt par Viettel, et elles ont bénéficié d'investissements et de soins systématiques et stratégiques.

Le parcours de recherche approfondie de VCS a débuté dès ses premières années, avec seulement six personnes travaillant initialement sur la sécurité de l'information. Depuis 2011, l'équipe VCS mène des simulations d'attaques avec des unités du groupe Viettel afin d'identifier les failles de sécurité.

« Comme nous exploitons des infrastructures critiques, la cybersécurité est au cœur de la vision de Viettel », a déclaré M. Son Hai. « En matière de cybersécurité, l’humain est le facteur le plus important. Même avec les meilleurs produits au monde, l’utilisateur final est exposé à un risque d’attaque très élevé, tandis que les infrastructures critiques telles que les services mobiles et internet de Viettel sont la cible des plus grands groupes criminels au monde. »

Afin de constituer une équipe d'experts pour protéger les infrastructures critiques, VCS vise à former des spécialistes en cybersécurité aux compétences équivalentes aux standards internationaux. De 2015 à aujourd'hui, Viettel et VCS ont formé 450 étudiants, dont 5 % des candidats les plus prometteurs ont été recrutés, a déclaré M. Hai.

« Après avoir constitué une équipe d'experts et investi systématiquement dans la recherche approfondie, nous continuons de chercher des moyens d'investir dans l'amélioration des compétences offensives de l'équipe d'experts VCS. La participation à des compétitions de niveau mondial s'inscrit également dans cet objectif », a déclaré M. Nguyen Son Hai.

En 2013, VCS a commencé à étudier les vulnérabilités zero-day – des failles inconnues et non corrigées, et donc les plus coûteuses à exploiter. Anh Huy et Hong Quang ont été parmi les premiers spécialistes à s'y consacrer. Dès 2015, l'équipe VCS avait découvert ses premières vulnérabilités et, à ce jour, elle en a identifié 400.

« Aucune entreprise vietnamienne n'a atteint un tel chiffre, et il n'y en a pas beaucoup dans le monde non plus », a déclaré M. Hai.

L'opportunité de se former grâce à une participation approfondie à la recherche explique pourquoi VCS est un lieu de travail attractif pour les experts en cybersécurité qui viennent de remporter le premier prix du concours Pwn2Own. Interrogé sur les raisons de son choix pour Viettel, Anh Huy a déclaré : « D'après mon expérience, peu d'entreprises sont prêtes à investir sur le long terme dans la recherche en cybersécurité et dans les équipes de recherche. »

« Surtout dans le domaine de la cybersécurité, le facteur humain est primordial. C’est pourquoi VCS s’attache constamment à former et à perfectionner ses équipes et à constituer des générations successives de collaborateurs hautement qualifiés, toujours prêts à relever les défis internationaux », a souligné Nguyen Son Hai, directeur de VCS.

Lors de la cérémonie de remise des prix, félicitant les membres de l'équipe pour leur participation au concours, le président-directeur général du groupe Viettel, Tao Duc Thang, a exprimé sa fierté envers les « hackers éthiques » de Viettel. Il a affirmé : « Viettel est fier que l'équipe VCS ait remporté un prix prestigieux dans le domaine de la cybersécurité mondiale, en se mesurant à des fabricants d'équipements de premier plan dotés d'importantes unités de R&D. »

Le PDG du groupe Viettel a déclaré : « Pwn2Own est une compétition prestigieuse d'un niveau de difficulté extrêmement élevé pour tout hacker. Cette compétition s'apparente à une véritable bataille contre des fabricants dotés des meilleures équipes de sécurité informatique au monde, prêts à riposter jusqu'à la dernière minute. C'est un jeu sans limite d'âge, qui peut même donner lieu à des collaborations multinationales… » Par conséquent, M. Tao Duc Thang a affirmé avec fierté : « Remporter le championnat Pwn2Own 2023 est une grande fierté pour Viettel et le Vietnam sur la scène internationale. »

Le président Cao Duc Thang a également reconnu que le domaine de la cybersécurité est vaste, qu'il représente un long chemin à parcourir pour les experts de Viettel et que de nombreux défis restent à relever.

« Maintenir la première place n'est pas chose facile, nous devons donc continuer à perfectionner nos compétences et à nourrir de grandes ambitions, en nous efforçant constamment de transformer ces rêves en réalité pour faire rayonner le Vietnam dans le monde », a souligné M. Tao Duc Thang.

Le président du groupe Viettel a également indiqué qu'à l'avenir, le groupe mettra en place des politiques spécifiques pour former des ressources humaines de haute qualité, afin qu'elles puissent continuer à se consacrer à leur travail en toute sérénité.

En confiant des tâches à VCS, M. Tao Duc Thang a souligné que VCS devait continuer à former davantage d'experts en sécurité, en mettant l'accent sur la formation de la prochaine génération avec les meilleures bases possibles afin de servir non seulement l'entreprise mais aussi le pays, en protégeant la nation dans le cyberespace.