Viettel « Hacker » inscrit son nom sur la carte du monde

À plus d'une heure du matin le 27 octobre, dans la salle encore éclairée de la société Viettel Cyber ​​Security (VCS), 14 membres de l'équipe VCS ont explosé de joie : l'équipe a remporté le championnat de la compétition de cyberattaque la plus importante et la plus prestigieuse au monde, Pwn2Own 2023.

Ce n'était pas seulement le résultat attendu de trois mois de travail continu jour et nuit de toute l'équipe et d'une compétition acharnée contre les adversaires les plus forts du monde entier !

Ce n'est pas seulement le premier fruit sucré pour le plus jeune membre de l'équipe, Do Anh Dung, né en 2003, actuellement étudiant en 3e année à l'Université de Technologie (VNU) !

Ce n'est pas seulement le désir d'atteindre la plus haute position de la compétition pour des membres tels que Ngo Anh Huy, Nguyen Xuan Hoang, Nguyen Hong Quang… qui ont tenté leur chance à ce tournoi pendant plusieurs années !

C’est également un honneur d’offrir au pays la plus haute place dans l’une des compétitions les plus prestigieuses au monde, confirmant ainsi les compétences du peuple vietnamien dans le domaine de la sécurité et de la sûreté de l’information.

Et surtout, c'est le fruit d'un travail acharné mené par Viettel il y a de nombreuses années. Aujourd'hui, grâce à son système de contrôle de version (VCS) et à son équipe d'experts en sécurité de l'information, Viettel peut s'enorgueillir d'être l'une des entreprises leaders mondiales en matière de sécurité et de sûreté de l'information.

Les 14 membres de l'équipe VCS qui a remporté le championnat Pwn2Own 2023 sont tous très jeunes. La plupart appartiennent à la génération 9x, le plus jeune étant né en 2003.

Mais la plupart des membres de l'équipe pratiquent ce métier depuis de nombreuses années et possèdent une riche expérience et de nombreux succès dans le domaine de la sécurité informatique. Même le benjamin de l'équipe, Do Anh Dung, s'est déjà illustré : c'est lui qui a réalisé un véritable exploit lors de cette compétition, remportant une catégorie et contribuant ainsi au succès global de toute l'équipe.

À la fin du dernier tour, le soir du 27 octobre, l'équipe de Viettel Cyber ​​Security (VCS) a officiellement remporté le meilleur score avec 30 points Master of Pwn, laissant un écart de 12,75 points avec l'équipe en deuxième position.

Grâce à ce score convaincant, VCS a remporté le titre de champion face à de nombreux adversaires internationaux, considérés comme de sérieux prétendants au titre, tels que Sea Security (Singapour), Vupen, Synacktiv (France) et Devcore (Taïwan - l'équipe championne de l'année dernière)...

Évoquant les difficultés rencontrées lors de la préparation de la compétition, Ha Anh Hoang, membre de l'équipe VCS, a déclaré : « Trois mois avant la compétition, le comité d'organisation a annoncé les appareils à tester. Par conséquent, le délai de préparation était très court, car l'équipe venait tout juste d'acquérir les appareils nécessaires à ses recherches. Nombre d'entre eux devaient être importés, et il a fallu attendre un mois entier pour leur livraison au Vietnam. »

Selon Nguyen Xuan Hoang, un autre membre de l'équipe : « La compétition rassemble des concurrents aguerris, forts d'une longue expérience et disposant de ressources financières et professionnelles considérables. L'équipe VCS est déterminée à aborder cette compétition avec la plus grande rigueur, en faisant preuve de solidarité et en élaborant une stratégie adaptée afin de remporter la victoire cette année. »

Hoang a ajouté que l'année dernière, l'équipe VCS avait terminé deuxième de cette compétition avec un score très proche de celui de l'équipe championne, ne s'inclinant que de 2,5 points. L'équipe est donc déterminée à remporter le championnat cette année.

Mais le chemin vers le championnat n'est pas simple : les cibles des attaques dans cette compétition sont tous les appareils et logiciels populaires au monde, provenant de fabricants leaders tels que Microsoft, Apple, Google, Samsung... - a expliqué Nguyen Xuan Hoang.

Pour répondre aux exigences du concours, l'appareil devait être commandé aux États-Unis, mais par un simple moment d'inattention, il est tombé en panne car il utilisait une source d'alimentation de 110 V adaptée au marché américain, alors que le Vietnam utilise du 220 V.

Selon Ngo Anh Huy, membre de l'équipe ayant participé quatre fois à cette compétition, la plus grande crainte de l'équipe est la duplication des erreurs ou le manque de temps du fabricant pour corriger les failles de sécurité qu'elle a identifiées. L'année dernière, l'équipe Viettel a participé à la compétition et n'a obtenu que la deuxième place, ayant été pénalisée pour une vulnérabilité déjà signalée.

De plus, ce défi est survenu à la dernière minute : en raison d’un retard de visa, toute l’équipe n’a pas pu se rendre à Toronto (Canada) à temps pour participer en personne. Les 14 membres de l’équipe VCS ont donc dû concourir en ligne, craignant des problèmes techniques qui ne pourraient être résolus pendant la compétition.

Mais le résultat final parlait de lui-même… Non seulement l’équipe VCS a gagné, mais elle a aussi gagné de façon spectaculaire.

« Lorsque nous avons remporté la catégorie des 10 meilleurs scores, toute l'équipe a explosé de joie car nous avions prouvé que ce championnat était une victoire convaincante, sans aucun doute », se souvient fièrement Nguyen Xuan Hoang.

Après avoir participé sans interruption à Pwn2Own pendant quatre ans, l'équipe VCS a remporté le championnat pour la première fois. Il s'agit d'une compétition d'attaques logicielles et électroniques grand public organisée deux fois par an par l'organisation de cybersécurité Zero Day Initiative, et considérée comme l'une des compétitions de cybersécurité les plus difficiles au monde.

M. Nguyen Son Hai, directeur de VCS, a déclaré qu'en 2020, Viettel avait remporté sa première victoire dans ce concours, dans la catégorie Smart TV. En 2021, Viettel s'est hissé dans le Top 5. En 2022, il a décroché la deuxième place. Et cette année, il a remporté le championnat avec un score impressionnant.

La compétition Pwn2Own réunit non seulement des équipes de cybersécurité de renommée mondiale, mais aussi de grands fabricants et des entreprises technologiques du monde entier. Chaque examen comprend des questions sur des logiciels ou du matériel informatique courants, tels que le système d'exploitation Windows, les téléphones Apple, Xiaomi et Samsung, ou encore les imprimantes Canon et HP.

Les équipes s'affrontent pour trouver des failles de sécurité inconnues dans les logiciels et les appareils et doivent démontrer l'exploitation en direct de ces failles en moins de 30 minutes.

« Pourquoi peut-on affirmer que les concurrents ne sont pas seulement d'autres groupes d'experts en sécurité, mais aussi des fabricants d'appareils comme Apple, Xiaomi, Canon, TP-Link… ? Parce qu'ils redoutent d'être associés à des vulnérabilités sur leurs appareils et de perdre la confiance de leurs clients. Ces fournisseurs disposent toujours d'une équipe de sécurité et sont prêts à investir massivement pour corriger les failles de leurs produits avant la compétition, afin d'éviter tout scandale public », a expliqué Nguyen Hong Quang, expert et membre de l'équipe VCS, à Tuoi Tre .

La compétition sera donc intense du début à la fin. En effet, il est tout à fait possible que les équipes découvrent des failles de sécurité, mais que le constructeur les corrige soudainement juste avant le jour J, anéantissant ainsi tous leurs efforts et leurs acquis.

« Par conséquent, à l'approche de la performance, nous devions nous relayer jour et nuit pour "surveiller" et voir si les vulnérabilités que nous avions découvertes existaient toujours ou non, et surveiller de près le fabricant pour voir s'il avait corrigé les bugs que nous avions découverts ou non », a déclaré Ngo Anh Huy, un joueur expérimenté de Pwn2Own de l'équipe VCS.

Le concours Pwn2Own 2023 de Toronto est axé sur le matériel informatique, notamment les téléphones portables, les enceintes connectées, les systèmes de surveillance, les systèmes de stockage en réseau et les appareils de bureau. Chaque catégorie offre des prix allant de 30 000 $ à 100 000 $ et un système de notation de 2 à 10 points, selon la complexité du dispositif et le niveau de détail de la démonstration d'attaque.

La catégorie la plus lucrative, tant en termes de prix que de points, est la dernière, le mash-up, qui exige des équipes qu'elles exécutent un code d'exploitation sur l'un des routeurs réseau fournis pour la compétition et qu'elles attaquent ainsi un appareil appartenant aux catégories susmentionnées, pour un prix de 100 000 $ et 10 points.

Après avoir terminé les différentes catégories, en attaquant avec succès le téléphone Xiaomi 13 Pro, le système de stockage QNAP TS 464, l'imprimante Canon imageClass MF753Cdw et l'enceinte Sonos Era 100, l'équipe VCS a marqué 20 points, ce qui lui assure quasiment la victoire au championnat, car son adversaire, Sea Security, n'a marqué que 17,25 points après avoir terminé toutes les catégories individuelles et la catégorie combinée.

La pression compétitive est moins forte aujourd'hui, mais la dernière catégorie reste une source d'inquiétude pour les ingénieurs de VCS, car le manque de points lors de l'épreuve de mash-up est la raison pour laquelle l'équipe a raté le championnat l'an dernier. « Cette fois-ci, en participant à l'épreuve de mash-up, nous sommes toujours désavantagés lors du tirage au sort pour le tour suivant. Si nous répétons la même erreur que l'équipe précédente, nous serons pénalisés », explique Ngo Anh Huy. Une erreur similaire avait coûté à VCS un retard de 2,5 points sur l'équipe gagnante lors du Pwn2Own de l'année dernière.

« Cette année, nous avons non seulement cherché à exploiter de nouvelles vulnérabilités, mais nous avons aussi délibérément choisi des vulnérabilités très difficiles à trouver et peu susceptibles de se chevaucher avec celles d'autres équipes, ou encore faciles à trouver mais difficiles à exploiter, tout en prévoyant de nombreux plans de secours. C'est le fruit de trois mois de recherche intensive menée par toute l'équipe », a déclaré Huy.

En conséquence, l'équipe VCS a obtenu 10/10 points dans la catégorie combinée et a remporté le championnat général avec un score total de 30, soit 12,5 points de plus que le finaliste, remportant ainsi une victoire spectaculaire et totale.

« Nous avons choisi Pwn2Own pour mettre nos compétences à l'épreuve car il s'agit d'une compétition portant sur les appareils les plus populaires au monde, provenant de fabricants de renom et soumise à un processus de test rigoureux », a déclaré M. Nguyen Son Hai, directeur de VCS. « Investir dans une équipe de recherche spécialisée et nous mesurer à l'échelle internationale fait partie intégrante de la stratégie de VCS visant à développer ses ressources humaines. »

Le parcours de l'équipe VCS jusqu'au championnat Pwn2Own 2023 est le fruit d'un long travail de longue haleine, une illustration éloquente de la vision qu'avaient il y a de nombreuses années les dirigeants du groupe Viettel dans le domaine de la sécurité de l'information.

Il y a plus de dix ans, alors que Nguyen Son Hai, directeur de VCS, avait le même âge que les membres de l'équipe championne actuelle de Pwn2Own 2023, les dirigeants du groupe Viettel étaient déterminés à investir dans le domaine de la sécurité de l'information.

Les premières graines d'un jeune champ furent bientôt semées et entretenues par Viettel de manière systématique et stratégique.

Le parcours de recherche approfondie de VCS a débuté dès ses premières années, avec seulement six personnes travaillant initialement sur la sécurité de l'information. Depuis 2011, l'équipe de VCS mène des simulations d'attaques avec des unités du groupe Viettel afin de mettre en évidence les problèmes de sécurité.

« Du fait de l’exploitation d’infrastructures critiques, Viettel place la sécurité réseau au cœur de sa stratégie de recherche », a déclaré M. Son Hai. « En matière de sécurité réseau, le facteur humain est primordial. Même en utilisant les meilleurs produits au monde, le risque d’attaque reste très élevé pour un simple utilisateur final, tandis que les infrastructures critiques de Viettel, telles que les réseaux mobiles et Internet, sont la cible des plus grands groupes cybercriminels au monde. »

Afin de disposer d'une équipe d'experts pour protéger les infrastructures critiques, VCS vise à former des spécialistes en cybersécurité de niveau international. De 2015 à aujourd'hui, Viettel et VCS ont formé 450 étudiants, dont 5 % des plus compétents ont été recrutés, a déclaré M. Hai.

« Après avoir constitué une équipe d'experts et investi dans des recherches approfondies, nous continuons de chercher des moyens d'investir pour améliorer les compétences offensives de l'équipe d'experts de VCS. La participation à des compétitions de niveau mondial s'inscrit également dans cette optique », a déclaré M. Nguyen Son Hai.

En 2013, VCS a commencé à étudier les vulnérabilités zero-day, des failles inconnues et non corrigées, et donc les plus coûteuses à corriger. Anh Huy et Hong Quang figuraient parmi les premiers spécialistes dans ce domaine. Dès 2015, l'équipe VCS a découvert ses premières vulnérabilités et, à ce jour, elle en a identifié 400.

« Aucune entreprise vietnamienne n'a atteint un tel chiffre, et peu d'entreprises dans le monde non plus », a déclaré M. Hai.

L'opportunité de se former en participant à des recherches approfondies explique pourquoi Viettel Corporation (VCS) est devenue un employeur de choix pour les experts en cybersécurité, récemment lauréats du concours Pwn2Own. Interrogé sur son choix de VCS, Anh Huy a déclaré : « D'après mon expérience, peu d'entreprises sont prêtes à investir sur le long terme dans la recherche en cybersécurité et les équipes de recherche. »

« Surtout dans le domaine de la cybersécurité, le facteur humain est primordial. C’est pourquoi VCS accorde une importance capitale à la formation, au perfectionnement de ses équipes et à la constitution d’une nouvelle génération de collaborateurs hautement qualifiés, toujours prêts à relever les défis internationaux », a souligné Nguyen Son Hai, directeur de VCS.

Lors de la cérémonie organisée en l'honneur des membres de l'équipe participant au concours, Tao Duc Thang, président-directeur général du groupe Viettel, a exprimé sa fierté envers les « hackers éthiques » de Viettel. Il a déclaré : « Viettel est fier que l'équipe VCS ait remporté ce prix prestigieux dans le domaine de la cybersécurité mondiale, face aux plus grands fabricants d'équipements au monde, dotés d'importantes unités de R&D. »

Le PDG du groupe Viettel a déclaré : « Pwn2Own est une compétition prestigieuse d'un niveau de difficulté très élevé pour tout hacker. Cette compétition s'apparente à une véritable bataille contre des entreprises possédant les meilleures équipes de sécurité informatique au monde, prêtes à contrer les hackers jusqu'à la dernière minute. C'est un jeu sans limite d'âge, qui peut même impliquer une coopération multinationale… » Par conséquent, M. Tao Duc Thang a affirmé avec fierté : « Le championnat Pwn2Own 2023 a fait rayonner Viettel et le Vietnam sur la scène internationale. »

Le président Tao Duc Thang a également reconnu que le domaine de la cybersécurité est immense, que le chemin est encore long pour les experts de Viettel et que de nombreux défis les attendent.

« Maintenir la première place n'est pas chose facile, nous devons donc continuer à travailler plus dur et à nourrir de grandes ambitions, en aspirant constamment à réaliser notre rêve et à faire rayonner le Vietnam dans le monde », a souligné M. Tao Duc Thang.

Le président du groupe Viettel a également indiqué que, dans les prochains mois, le groupe mettra en place des politiques spécifiques pour former des ressources humaines de haute qualité, afin qu'elles puissent continuer à se consacrer pleinement et en toute confiance à leur travail.

En confiant cette tâche à VCS, M. Tao Duc Thang a souligné que VCS devait continuer à former davantage d'experts en sécurité, déterminé à former la prochaine génération avec les meilleures bases possibles afin de servir non seulement l'entreprise, mais aussi le pays, en protégeant la nation dans le cyberespace.