Viettel « Hacker » inscrit son nom sur la carte du monde

À plus d'une heure du matin le 27 octobre, dans la salle encore éclairée de la société Viettel Cyber ​​​​Security Company (VCS), 14 membres de l'équipe VCS ont explosé de joie : l'équipe a remporté le championnat du plus grand et du plus prestigieux concours de cyberattaque au monde Pwn2Own 2023.

Ce n’était pas seulement le résultat attendu de trois mois de travail continu jour et nuit de toute l’équipe et d’une compétition acharnée contre les adversaires les plus forts du monde entier !

Ce n'est pas seulement le premier fruit sucré pour le plus jeune membre de l'équipe, Do Anh Dung, né en 2003, actuellement étudiant en 3ème année à l'Université de Technologie (VNU) !

Ce n’est pas seulement l’envie d’atteindre la plus haute position de la compétition pour des membres tels que Ngo Anh Huy, Nguyen Xuan Hoang, Nguyen Hong Quang… qui s’essayent à ce tournoi depuis plusieurs années !

C’est également un honneur d’amener le pays à la plus haute position dans l’une des compétitions les plus prestigieuses au monde, affirmant la capacité du peuple vietnamien dans le domaine de la sécurité et de la sûreté de l’information.

Et surtout, c'est le fruit des efforts que Viettel a déployés avec persévérance il y a de nombreuses années. Aujourd'hui encore, grâce à VCS et à une équipe d'experts en sécurité informatique, Viettel peut être fière d'être l'une des entreprises leaders mondiales en matière de sécurité et de sûreté de l'information.

Les 14 membres de l'équipe VCS, vainqueurs du championnat Pwn2Own 2023, sont tous très jeunes. La plupart appartiennent à la génération 9x, le plus jeune étant né en 2003.

Mais la plupart des membres de l'équipe se battent depuis de nombreuses années et possèdent une vaste expérience et des réalisations remarquables dans le domaine de la sécurité et de la sûreté de l'information. Même le plus jeune membre de l'équipe, Do Anh Dung, s'est déjà imposé : c'est lui qui a réalisé un miracle lors de cette compétition, remportant une catégorie et contribuant ainsi aux résultats globaux de l'équipe.

À l'issue du tour final, le soir du 27 octobre, l'équipe de Viettel Cyber ​​​​Security (VCS) a officiellement remporté le score le plus élevé avec 30 points Master of Pwn, laissant l'écart avec l'équipe classée deuxième à 12,75 points.

Avec ce score convaincant, VCS a établi le titre de champion face à de nombreux adversaires internationaux, considérés comme de solides candidats au championnat du tournoi tels que Sea Security (Singapour), Vupen, Synacktiv (France) et Devcore (Taïwan - équipe championne de l'année dernière)...

Ha Anh Hoang, membre de l'équipe VCS, a évoqué les difficultés rencontrées lors de la préparation du concours : « Trois mois avant le concours, le comité d'organisation a annoncé les appareils à conquérir. Le temps de préparation n'a donc été que de trois mois, car l'équipe venait tout juste d'acheter les appareils nécessaires à la recherche. Nombre d'entre eux ont dû être importés de l'étranger et il a fallu attendre un mois entier pour les recevoir au Vietnam. »

Selon Nguyen Xuan Hoang, un autre membre de l'équipe, « La compétition réunit des concurrents de longue date. Ils possèdent une grande expérience et sont également très forts, tant sur le plan financier que professionnel. L'équipe VCS est déterminée à participer à la compétition avec la préparation la plus rigoureuse, la solidarité et une stratégie de compétition adaptée pour remporter le plus grand succès cette année. »

Hoang a ajouté que l'année dernière, l'équipe VCS avait remporté la deuxième place de cette compétition avec un score très proche de celui de l'équipe championne, ne perdant que de 2,5 points. L'équipe est donc déterminée à viser le titre cette année.

Mais le chemin vers le championnat n'est pas simple : les cibles d'attaque dans cette compétition sont tous les appareils et logiciels populaires dans le monde, des principaux fabricants tels que Microsoft, Apple, Google, Samsung... - a partagé Nguyen Xuan Hoang.

Pour répondre aux exigences du concours, l'appareil a dû être commandé aux États-Unis, mais dans un moment d'inattention, l'appareil est « mort » car il utilisait une source d'alimentation de 110 V adaptée au marché américain, tandis que le Vietnam utilise du 220 V.

Selon Ngo Anh Huy, membre ayant participé à ce concours à quatre reprises, la principale crainte de l'équipe est la duplication des erreurs ou le manque de temps du fabricant pour corriger les failles de sécurité détectées. L'année dernière, l'équipe Viettel a participé au concours et n'a remporté que la deuxième place, des points lui ayant été retirés pour une vulnérabilité dupliquée.

De plus, le défi a été lancé à la dernière minute : en raison d'un retard de visa, toute l'équipe n'a pas pu se rendre à Toronto (Canada) à temps pour concourir en personne. Les 14 membres de l'équipe VCS ont dû concourir en ligne, craignant d'éventuels problèmes qui ne pourraient être résolus pendant la compétition…

Mais le résultat final a tout dit… Non seulement l’équipe VCS a gagné, mais elle a également gagné de manière spectaculaire.

« Lorsque nous avons remporté la finale dans la catégorie des 10 points les plus élevés, toute l'équipe a éclaté de joie et de bonheur parce que nous avions prouvé que ce championnat était une victoire convaincante, sans aucun doute » - Nguyen Xuan Hoang se souvient fièrement de ce moment.

Après avoir participé sans interruption à Pwn2Own pendant quatre ans, l'équipe VCS a remporté le championnat Pwn2Own pour la première fois. Il s'agit d'une compétition d'attaques contre les logiciels et l'électronique grand public, organisée deux fois par an par l'organisation de cybersécurité Zero Day Initiative, l'une des compétitions de cybersécurité les plus difficiles au monde aujourd'hui.

M. Nguyen Son Hai, directeur de VCS, a déclaré qu'en 2020, Viettel avait remporté sa première victoire dans ce domaine dans la catégorie SmartTV. En 2021, Viettel était entré dans le Top 5 et avait terminé deuxième en 2022. Cette année, l'entreprise a remporté le championnat avec une victoire éclatante.

Pwn2Own accueille non seulement des équipes de cybersécurité de renommée mondiale, mais aussi de grands fabricants et entreprises technologiques du monde entier. Chaque examen portera sur des logiciels et des matériels courants tels que Windows, Apple, Xiaomi, Samsung, Canon et les imprimantes HP.

Les équipes s'affrontent pour trouver des vulnérabilités de sécurité inconnues dans les logiciels et les appareils et doivent démontrer l'exploitation en direct de ces vulnérabilités dans les 30 minutes.

« Pourquoi peut-on dire que les concurrents ne sont pas seulement d'autres groupes d'experts en sécurité, mais aussi des fabricants d'appareils comme Apple, Xiaomi, Canon, TP Link… parce qu'ils détestent être connus pour leurs vulnérabilités et perdre la confiance des clients. Ces fournisseurs disposent toujours d'une équipe de sécurité et sont prêts à débourser des sommes importantes pour corriger les erreurs de leurs produits avant la compétition, afin que leurs produits ne soient pas déshonorés publiquement », a expliqué à Tuoi Tre Nguyen Hong Quang, expert au sein de l'équipe VCS.

La compétition sera donc intense du début à la fin. Il est tout à fait possible que les vulnérabilités soient découvertes par les équipes, mais que le fabricant les corrige soudainement juste avant le jour J, faisant perdre à l'équipe tous ses efforts et ses réussites.

Par conséquent, « à l'approche du moment de la représentation, nous avons dû nous relayer jour et nuit pour « surveiller » si les vulnérabilités que nous avions découvertes existaient toujours ou non, et surveiller de près le fabricant pour voir s'il avait corrigé les bugs que nous avions découverts ou non », a déclaré Ngo Anh Huy, un joueur expérimenté de Pwn2Own de l'équipe VCS.

Le concours Pwn2Own 2023 de Toronto est axé sur le matériel informatique, notamment dans des catégories telles que les téléphones portables, les enceintes connectées, les systèmes de surveillance, les systèmes de stockage en réseau et les appareils électroniques de bureau. Chaque catégorie offre des prix allant de 30 000 $ à 100 000 $ et des scores allant de 2 à 10 points, selon la difficulté de l'appareil et le niveau de réussite de la démonstration d'attaque.

La catégorie finale, celle qui rapporte le plus de prix et de points, est celle du mash-up, qui demande aux équipes d'exécuter un code d'exploitation sur l'un des routeurs réseau du concours et d'attaquer ainsi un appareil dans les catégories susmentionnées, pour un prix de 100 000 $ et 10 points.

Après avoir terminé les catégories individuelles, en attaquant avec succès les appareils téléphoniques Xiaomi 13 Pro, le système de stockage QNAP TS 464, l'imprimante Canon imageClass MF753Cdw, le haut-parleur Sonos Era 100, l'équipe VCS a marqué 20 points, presque certaine de remporter le championnat car l'adversaire Sea Security n'a marqué que 17,25 points, après avoir terminé toutes les catégories individuelles et la catégorie combinée.

La pression concurrentielle est désormais moins forte, mais la catégorie finale hante toujours les ingénieurs de VCS, car le manque de points en compétition de mash-up est la raison pour laquelle cette équipe a manqué le championnat l'an dernier. « Cette fois, en entrant dans la catégorie smash-up, nous sommes toujours désavantagés lors du tirage au sort pour le tour suivant. Si nous comportons la même faille que l'équipe précédente, des points nous seront retirés », a expliqué Ngo Anh Huy. Cette double erreur a fait perdre 2,5 points à VCS sur l'équipe classée première du Pwn2Own de l'année dernière.

« Cette année, nous avons non seulement tenté d'exploiter de nouvelles vulnérabilités, mais nous avons aussi délibérément choisi des vulnérabilités très difficiles à identifier et difficiles à exploiter par d'autres équipes, ou faciles à identifier mais difficiles à exploiter, tout en disposant de nombreux plans de secours. C'est le fruit de trois mois de recherche approfondie menée par toute l'équipe », a déclaré Huy.

En conséquence, l'équipe VCS a obtenu 10/10 points dans la catégorie combinée et a remporté le championnat général avec un score total de 30, soit 12,5 points de plus que le finaliste, remportant une victoire spectaculaire et complète.

« Nous avons choisi Pwn2Own pour tester nos compétences, car il s'agit d'une compétition sur les appareils les plus populaires au monde, proposés par les plus grands fabricants et soumise à un processus de test rigoureux », a déclaré M. Nguyen Son Hai, directeur de VCS. « Investir dans une équipe de recherche spécialisée et nous mesurer à l'international s'inscrit dans la stratégie de développement des ressources humaines de VCS. »

Le parcours de l'équipe VCS vers le championnat Pwn2Own 2023 est le résultat d'un long parcours hérité, une démonstration vivante de la vision d'il y a de nombreuses années des dirigeants du groupe Viettel dans le domaine de la sécurité de l'information.

Il y a plus de dix ans, lorsque le directeur de VCS, Nguyen Son Hai, avait encore le même âge que les membres actuels de l'équipe championne Pwn2Own 2023, les dirigeants du groupe Viettel étaient déterminés à investir dans le domaine de la sécurité de l'information.

Les premières graines d’un jeune champ furent bientôt plantées et entretenues par Viettel de manière systématique et stratégique.

Le parcours de recherche approfondi de VCS a débuté dès ses débuts, avec seulement six personnes travaillant sur la sécurité de l'information. Depuis 2011, l'équipe de VCS mène des simulations d'attaques avec des unités du groupe Viettel afin de mettre en évidence les problèmes de sécurité.

« Du fait de l'exploitation d'infrastructures critiques, Viettel a une vision de recherche qui considère la sécurité des réseaux comme un pilier », a déclaré M. Son Hai. « En matière de sécurité des réseaux, l'humain est le facteur le plus important. Même en utilisant les meilleurs produits au monde, mais uniquement en tant qu'utilisateur final, le risque d'être attaqué reste très élevé. Or, les infrastructures critiques de Viettel, telles que les réseaux mobiles et Internet, sont la cible d'attaques de la part des plus grands groupes mondiaux. »

Afin de disposer d'une équipe d'experts pour protéger les infrastructures critiques, VCS vise à former du personnel en cybersécurité doté de capacités équivalentes à celles du monde entier. De 2015 à aujourd'hui, Viettel et VCS ont formé 450 étudiants, dont 5 % des candidats les plus qualifiés ont été recrutés pour continuer à travailler, a déclaré M. Hai.

« Après avoir constitué une équipe d'experts et investi dans des recherches approfondies, nous continuons à chercher des moyens d'améliorer les compétences offensives de l'équipe d'experts du VCS. Participer à des compétitions de niveau mondial répond également à cet objectif », a déclaré M. Nguyen Son Hai.

En 2013, VCS a commencé à étudier les vulnérabilités zero-day, inconnues et non corrigées, donc les plus coûteuses. Anh Huy et Hong Quang ont également été parmi les premiers spécialistes. En 2015, l'équipe VCS a découvert les premières vulnérabilités et, à ce jour, le nombre de vulnérabilités détectées par VCS atteint 400.

« Aucune entreprise vietnamienne n’a atteint un tel chiffre, et peu d’entreprises dans le monde non plus », a déclaré M. Hai.

La possibilité de se former en participant à des recherches approfondies explique pourquoi VCS est devenu un lieu de travail attractif pour les experts en cybersécurité, qui ont récemment remporté la première place au Pwn2Own. Interrogé sur les raisons de son choix de Viettel, Anh Huy a déclaré : « D'après mon expérience, peu d'entreprises sont prêtes à investir à long terme dans la recherche et les équipes de recherche en cybersécurité. »

« Dans le domaine de la cybersécurité en particulier, le facteur humain est primordial. C'est pourquoi VCS s'attache constamment à former, à perfectionner ses équipes et à former la prochaine génération de collaborateurs hautement qualifiés, toujours prêts à relever les défis internationaux », a souligné Nguyen Son Hai, directeur de VCS.

Lors de la cérémonie d'hommage et de félicitations aux participants à la compétition, Tao Duc Thang, président-directeur général du groupe Viettel, a exprimé sa fierté envers les « pirates blancs » de Viettel. Il a affirmé : « Viettel est fier que l'équipe VCS ait remporté ce prestigieux prix dans le domaine de la cybersécurité mondiale, rivalisant avec les plus grands fabricants d'équipements mondiaux dotés d'importantes unités de R&D. »

Le directeur du groupe Viettel a déclaré : « Pwn2Own est une compétition prestigieuse offrant un niveau de difficulté très élevé pour tout hacker. La compétition s'apparente à une véritable bataille entre des fabricants possédant les meilleures équipes de sécurité informatique au monde, prêtes à réagir aux hackers jusqu'à la dernière minute. Un jeu sans limite d'âge, qui peut même impliquer une coopération multinationale… ». M. Tao Duc Thang a ainsi déclaré : « Le championnat Pwn2Own 2023 a fait la renommée de Viettel et du Vietnam sur la scène internationale », a déclaré fièrement le président du groupe.

Le président Tao Duc Thang a également reconnu que le domaine de la cybersécurité est vaste, qu'un long chemin reste à parcourir pour les experts de Viettel et que de nombreux défis restent à relever.

« Maintenir la position de Top 1 n'est pas facile, nous devons donc continuer à travailler plus dur et avoir de grands rêves, aspirer constamment à réaliser le rêve d'amener le Vietnam au monde », a souligné M. Tao Duc Thang.

Le président du groupe Viettel a également indiqué que dans les temps à venir, le groupe mettra en place des politiques spéciales pour former des ressources humaines de haute qualité, afin qu'elles puissent continuer à se consacrer en toute confiance à leur travail.

En confiant cette tâche au VCS, M. Tao Duc Thang a souligné que le VCS doit continuer à former davantage d'experts en sécurité, déterminé à former la prochaine génération avec les meilleures bases pour servir non seulement l'entreprise mais aussi pour servir le pays, en protégeant la nation dans le cyberespace.