Viettel « Hacker » inscrit son nom sur la carte du monde

À 1h00 du matin le 27 octobre, dans la salle encore éclairée de Viettel Cyber ​​​​Security Company (VCS), 14 membres de l'équipe VCS ont explosé de joie : l'équipe a remporté le championnat du plus grand et du plus prestigieux concours de cyberattaque au monde Pwn2Own 2023.

Ce n'était pas seulement le résultat attendu de trois mois de travail continu jour et nuit de toute l'équipe et d'une compétition acharnée contre les adversaires les plus forts du monde entier !

Ce n'est pas seulement le premier fruit sucré pour le plus jeune membre de l'équipe, Do Anh Dung, né en 2003, actuellement étudiant en 3ème année à l'Université de Technologie (VNU) !

Ce n'est pas seulement l'envie d'atteindre la plus haute position de la compétition pour des membres tels que Ngo Anh Huy, Nguyen Xuan Hoang, Nguyen Hong Quang... qui s'essayent à ce tournoi depuis plusieurs années !

C’est également un honneur d’amener le pays à la plus haute position dans l’une des compétitions les plus prestigieuses au monde, affirmant la capacité du peuple vietnamien dans le domaine de la sécurité et de la sûreté de l’information.

Et surtout, c'est le fruit des efforts que Viettel a déployés avec persévérance il y a de nombreuses années. Aujourd'hui encore, grâce à VCS et à une équipe d'experts en sécurité informatique, Viettel peut être fière d'être l'une des entreprises leaders mondiales en matière de sécurité et de sûreté de l'information.

Les 14 membres de l'équipe VCS, vainqueurs du championnat Pwn2Own 2023, sont tous très jeunes. La plupart appartiennent à la génération 9x, le plus jeune étant né en 2003.

Mais la plupart des membres de l'équipe se battent depuis de nombreuses années et possèdent une riche expérience et de nombreuses réalisations dans le domaine de la sécurité et de la sûreté de l'information. Même le plus jeune membre de l'équipe, Do Anh Dung, s'est déjà imposé : c'est lui qui a réalisé un miracle lors de cette compétition, en remportant une catégorie et en contribuant aux résultats globaux de toute l'équipe.

À l'issue de la ronde finale dans la soirée du 27 octobre, l'équipe de Viettel Cyber ​​​​Security (VCS) a officiellement remporté la plus haute victoire avec 30 points Master of Pwn, laissant l'écart avec l'équipe classée deuxième à 12,75 points.

Avec ce score convaincant, VCS a établi le titre de champion face à de nombreux adversaires internationaux, considérés comme de sérieux candidats au championnat du tournoi tels que Sea Security (Singapour), Vupen, Synacktiv (France) et Devcore (Taïwan - équipe championne de l'année dernière)...

Ha Anh Hoang, membre de l'équipe VCS, a évoqué les difficultés rencontrées lors de la préparation de la compétition : « Trois mois avant la compétition, le comité d'organisation a annoncé le matériel à acquérir. Le temps de préparation n'a donc été que de trois mois, car l'équipe venait tout juste d'acheter le matériel nécessaire à la recherche. De nombreux appareils ont dû être importés de l'étranger et il a fallu attendre un mois entier pour les recevoir au Vietnam. »

Selon Nguyen Xuan Hoang, un autre membre de l'équipe, « La compétition réunit des concurrents de longue date. Ils ont une grande expérience et sont également très forts, tant sur le plan économique que professionnel. L'équipe du VCS a décidé que nous devions participer à la compétition avec la préparation la plus rigoureuse, la solidarité et une stratégie de compétition adaptée pour remporter le plus grand succès cette année. »

Hoang a ajouté que l'année dernière, l'équipe VCS avait remporté la deuxième place de cette compétition avec un score très proche de celui de l'équipe championne, ne perdant que de 2,5 points. L'équipe est donc déterminée à viser le titre cette année.

Mais le chemin vers le championnat n'est pas simple : les cibles d'attaque dans cette compétition sont tous les appareils et logiciels populaires dans le monde, des principaux fabricants tels que Microsoft, Apple, Google, Samsung... - a partagé Nguyen Xuan Hoang.

Pour répondre aux exigences du concours, l'appareil a dû être commandé aux États-Unis, mais dans un moment d'inattention, l'appareil est « mort » car il utilisait une source d'alimentation de 110 V adaptée au marché américain, tandis que le Vietnam utilise du 220 V.

Selon Ngo Anh Huy, membre ayant participé à cette compétition à quatre reprises, la principale crainte de l'équipe est la duplication des erreurs ou le manque de temps du fabricant pour corriger les failles de sécurité détectées. L'année dernière, l'équipe de Viettel n'a obtenu que la deuxième place, car des points lui ont été retirés pour une vulnérabilité dupliquée.

De plus, le défi est arrivé à la dernière minute : en raison d'un retard de visa, toute l'équipe n'a pas pu se rendre à Toronto (Canada) à temps pour concourir en direct. Les 14 membres de l'équipe VCS ont dû concourir en ligne, avec de nombreuses inquiétudes quant à d'éventuels problèmes qui ne pourraient être résolus pendant la compétition…

Mais le résultat final a tout dit… Non seulement l’équipe VCS a gagné, mais elle a également gagné de manière spectaculaire.

« Lorsque nous avons remporté la finale dans la catégorie des 10 points les plus élevés, toute l'équipe a éclaté de joie et de bonheur parce que nous avions prouvé que ce championnat était une victoire convaincante, sans aucun doute » - Nguyen Xuan Hoang se souvient fièrement de ce moment.

Après avoir participé sans interruption à Pwn2Own pendant quatre ans, l'équipe VCS a remporté le championnat Pwn2Own pour la première fois. Il s'agit d'une compétition d'attaques contre des logiciels et des appareils électroniques grand public organisée deux fois par an par l'organisation de cybersécurité Zero Day Initiative, l'une des compétitions de cybersécurité les plus difficiles au monde aujourd'hui.

M. Nguyen Son Hai, directeur de VCS, a déclaré qu'en 2020, Viettel avait remporté sa première victoire dans ce domaine dans la catégorie SmartTV. En 2021, Viettel était entrée dans le Top 5. En 2022, elle avait terminé deuxième. Cette année, elle a remporté le championnat avec un score écrasant.

Pwn2Own accueille non seulement des équipes de cybersécurité de renommée mondiale, mais aussi de grands fabricants et entreprises technologiques du monde entier. Chaque examen comportera des questions sur des logiciels et des matériels courants tels que Windows, Apple, Xiaomi, les téléphones Samsung ou les imprimantes Canon et HP.

Les équipes s'affrontent pour trouver des vulnérabilités de sécurité inconnues dans les logiciels et les appareils et doivent démontrer l'exploitation en direct de ces vulnérabilités dans les 30 minutes.

« Pourquoi peut-on dire que les adversaires ne sont pas seulement d'autres groupes d'experts en sécurité, mais aussi des fabricants d'appareils comme Apple, Xiaomi, Canon, TP Link… parce qu'ils détestent être connus pour leurs vulnérabilités et perdre la confiance des clients. Ces fournisseurs disposent toujours d'une équipe de sécurité et sont prêts à payer des sommes importantes pour corriger les failles de leurs produits avant la compétition, afin que leurs produits ne soient pas déshonorés devant le public », a expliqué à Tuoi Tre l'expert Nguyen Hong Quang, membre de l'équipe VCS.

La compétition sera donc intense du début à la fin. Il est en effet fort possible que les vulnérabilités découvertes par les équipes soient corrigées de manière inattendue par le fabricant juste avant le jour J, ce qui pourrait entraîner la perte de tous les efforts et de toutes les réussites d'une équipe.

Par conséquent, « plus près du moment de la performance, nous avons dû travailler jour et nuit pour « surveiller » si les vulnérabilités que nous avons découvertes existaient toujours, et surveiller de près le fabricant pour voir s'il corrigeait les bugs que nous avons découverts », a déclaré Ngo Anh Huy, un joueur expérimenté de Pwn2Own de l'équipe VCS.

Le concours Pwn2Own 2023 de Toronto est axé sur le matériel informatique, notamment les téléphones portables, les enceintes connectées, les systèmes de surveillance, les systèmes de stockage en réseau et les appareils électroniques de bureau. Chaque catégorie offre des prix allant de 30 000 $ à 100 000 $ et des scores allant de 2 à 10 points, selon la difficulté de l'appareil et le niveau de réussite de la démonstration d'attaque.

La catégorie la plus précieuse en termes de prix et de points est la dernière catégorie, le mash-up, qui demande aux équipes d'exécuter un code d'exploitation sur l'un des routeurs réseau du concours et d'attaquer ainsi un appareil dans les catégories susmentionnées, pour un prix de 100 000 $ et 10 points.

Après avoir terminé les catégories individuelles, en attaquant avec succès le téléphone Xiaomi 13 Pro, le système de stockage QNAP TS 464, l'imprimante Canon imageClass MF753Cdw, le haut-parleur Sonos Era 100, l'équipe VCS a marqué 20 points, presque certaine de remporter le championnat car l'adversaire Sea Security n'a marqué que 17,25 points, après avoir terminé toutes les catégories individuelles et la catégorie combinée.

La pression concurrentielle est désormais moins forte, mais la catégorie finale hante toujours les ingénieurs de VCS, car le manque de points en compétition de mash-up est la raison pour laquelle cette équipe a manqué le championnat l'année dernière. « Cette fois, en entrant dans la catégorie smash-up, nous continuons d'être désavantagés lors du tirage au sort pour le tour suivant. Si nous comportons la même faille que l'équipe précédente, des points nous seront retirés », a expliqué Ngo Anh Huy. Une telle erreur a fait perdre 2,5 points à VCS par rapport à l'équipe classée première du Pwn2Own de l'année dernière.

« Cette année, nous avons non seulement tenté d'exploiter de nouvelles vulnérabilités, mais nous avons aussi délibérément choisi des vulnérabilités très difficiles à identifier et difficiles à exploiter par d'autres équipes, ou faciles à identifier mais difficiles à exploiter, tout en disposant de nombreux plans de secours. C'est le fruit de trois mois de recherche approfondie menée par toute l'équipe », a déclaré Huy.

En conséquence, l'équipe VCS a obtenu 10/10 points dans la catégorie combinée et a remporté le championnat général avec un score total de 30, surpassant le finaliste de 12,5 points, gagnant de manière spectaculaire et complète.

« Nous avons choisi Pwn2Own pour concourir car il s'agit d'une compétition qui porte sur les appareils les plus populaires au monde, proposés par les plus grands fabricants et soumise à un processus de test rigoureux », a déclaré M. Nguyen Son Hai, directeur de VCS. « Investir dans une équipe de recherche spécialisée et concourir à l'international s'inscrit dans la stratégie de VCS en matière de développement des ressources humaines. »

Le parcours de l'équipe VCS vers le championnat Pwn2Own 2023 est le résultat d'un long voyage, d'un héritage, d'une démonstration vivante de la vision d'il y a de nombreuses années des dirigeants du groupe Viettel dans le domaine de la sécurité de l'information.

Il y a plus de dix ans, lorsque le directeur du VCS, Nguyen Son Hai, avait encore le même âge que les membres de l'équipe championne Pwn2Own 2023, les dirigeants du groupe Viettel étaient déterminés à investir dans le domaine de la sécurité de l'information.

Les premières graines d’un jeune champ furent bientôt plantées et entretenues par Viettel de manière systématique et stratégique.

Le parcours de recherche approfondi de VCS a débuté dès ses débuts, avec seulement six personnes travaillant sur la sécurité de l'information. Depuis 2011, l'équipe de VCS mène des simulations d'attaques avec des unités du groupe Viettel afin de mettre en évidence les problèmes de sécurité.

« Du fait de l'exploitation d'infrastructures critiques, Viettel a une vision de recherche qui considère la sécurité des réseaux comme un pilier », a déclaré M. Son Hai. « En matière de sécurité des réseaux, l'humain est le facteur le plus important. Même en utilisant les meilleurs produits au monde, mais uniquement en tant qu'utilisateur final, le risque d'être attaqué reste très élevé. Or, les infrastructures critiques de Viettel, telles que la téléphonie mobile et Internet, sont la cible d'attaques de la part des plus grands groupes mondiaux. »

Afin de disposer d'une équipe d'experts pour protéger les infrastructures critiques, VCS vise à former du personnel en cybersécurité doté de capacités équivalentes à celles du monde entier. De 2015 à aujourd'hui, Viettel et VCS ont formé 450 étudiants, dont 5 % des plus qualifiés ont été recrutés pour continuer à travailler, a déclaré M. Hai.

« Après avoir constitué une équipe d'experts et investi dans des recherches approfondies, nous continuons à chercher des moyens d'améliorer les compétences offensives de l'équipe d'experts du VCS. Participer à des compétitions de classe mondiale répond également à cet objectif », a déclaré M. Nguyen Son Hai.

En 2013, VCS a commencé ses recherches sur les vulnérabilités zero-day, inconnues et non corrigées, donc les plus coûteuses. Anh Huy et Hong Quang furent parmi les premiers experts. En 2015, l'équipe VCS a identifié les premières vulnérabilités et, à ce jour, le nombre de vulnérabilités identifiées par VCS a atteint 400.

« Aucune entreprise vietnamienne n'a atteint un tel nombre, et encore moins dans le monde », a déclaré M. Hai.

La possibilité de se former en participant à des recherches approfondies explique pourquoi VCS est devenu un lieu de travail attractif pour les experts en cybersécurité qui viennent de remporter la première place du Pwn2Own. Interrogé sur les raisons de son choix de Viettel, Anh Huy a déclaré : « D'après mon expérience, peu d'entreprises sont prêtes à investir à long terme dans la recherche et les équipes de recherche en cybersécurité. »

« Dans le domaine de la cybersécurité, le facteur humain est primordial. C'est pourquoi VCS veille constamment à former, à perfectionner ses équipes et à former la prochaine génération de collaborateurs hautement qualifiés, toujours prêts à relever les défis internationaux », a souligné Nguyen Son Hai, directeur de VCS.

Lors de la cérémonie d'hommage et de félicitations aux membres de l'équipe participant au concours, Tao Duc Thang, président-directeur général du groupe Viettel, a exprimé sa fierté envers les « pirates blancs » de Viettel. Il a affirmé : « Viettel est fier que l'équipe VCS ait remporté ce prestigieux prix dans le domaine de la sécurité des réseaux mondiaux, rivalisant ainsi avec les plus grands fabricants d'équipements mondiaux dotés d'importantes unités de R&D. »

Le directeur du groupe Viettel a déclaré : « Pwn2Own est une compétition prestigieuse présentant un niveau de difficulté très élevé pour tout hacker. La compétition s'apparente à une « bataille » entre des fabricants possédant les meilleures équipes de sécurité informatique au monde, prêtes à répondre aux hackers jusqu'à la dernière minute. Un jeu sans limite d'âge, et pouvant même impliquer une coopération multinationale… » ​​M. Tao Duc Thang a donc déclaré : « Le championnat Pwn2Own 2023 a rendu Viettel et le Vietnam célèbres sur la scène internationale », a déclaré fièrement le président du groupe.

Le président Tao Duc Thang a également reconnu que le domaine de la cybersécurité est vaste, que le chemin à parcourir est long pour les experts de Viettel et que de nombreux défis restent à relever.

« Maintenir la position de Top 1 n'est pas facile, nous devons donc continuer à travailler plus dur et avoir de grands rêves, en aspirant constamment à transformer les rêves en réalité pour amener le Vietnam au monde », a souligné M. Tao Duc Thang.

Le président du groupe Viettel a également indiqué que dans les temps à venir, le groupe aura des politiques spécifiques pour former des ressources humaines de haute qualité, afin qu'elles puissent continuer à se consacrer en toute confiance à leur travail.

En confiant cette tâche au VCS, M. Tao Duc Thang a souligné que le VCS doit continuer à former davantage d'experts en sécurité, déterminé à former les prochaines générations avec les meilleures bases pour servir non seulement l'entreprise mais aussi pour servir le pays, en protégeant la nation dans le cyberespace.