Les « garçons en or » du village de sécurité

« Manger, dormir avec… des trous »

En 2023, l'équipe Viettel a participé pour la quatrième fois au concours Pwn2Own et a connu la gloire. Si la première compétition n'était qu'un entraînement, l'équipe a atteint le top 5 lors de la deuxième édition (2021). En 2022, elle a perdu contre l'équipe championne, recevant la deuxième place. Ngo Anh Huy, capitaine de l'équipe, a déclaré : « Pwn2Own est le plus grand et le plus prestigieux concours de cyberattaque au monde , la « Coupe du monde » de la sécurité, avec des prix pouvant atteindre des millions de dollars. Les cibles des attaques sont tous les appareils et logiciels les plus populaires au monde, provenant de fournisseurs leaders tels que Microsoft, Apple, Google, Samsung et Xiaomi… »

Compétition Pwn20wn. La compétition s'est déroulée du 24 au 27 octobre 2023 à Toronto (Canada). 14 jeunes hommes, dont le plus jeune n'avait que 20 ans, étaient déterminés à atteindre l'objectif du championnat. Au lieu de se concentrer sur la recherche de nombreuses vulnérabilités comme lors des compétitions précédentes, le groupe de jeunes ingénieurs a élaboré une stratégie méthodique pour cette compétition, en recherchant des erreurs que peu de personnes ont découvertes et exploitées. L'une des principales préoccupations du chef d'équipe, Ngo Anh Huy, était de savoir comment fédérer les membres pour qu'ils puissent travailler en équipe. Au cours des deux semaines précédant la compétition, toute l'équipe a travaillé 20 heures par jour, mangeant et dormant presque sur place, devant préparer des rapports à envoyer au comité d'organisation et vérifiant les mises à jour et les correctifs de vulnérabilités. « Les vulnérabilités peuvent être détectées et corrigées par le fabricant avant la compétition. Par conséquent, nous devons souvent identifier autant de vulnérabilités que possible et préparer des plans d'attaque de secours si nous voulons obtenir le meilleur score », a ajouté Ha Anh Hoang. Tout avait été soigneusement préparé, attendant le jour J pour le Canada, mais le plus regrettable fut que, peu avant la compétition, toute l'équipe n'ait toujours pas reçu son visa d'entrée. « Au lieu de concourir en personne, l'équipe Viettel a dû rester chez elle et concourir en ligne. C'est un autre inconvénient par rapport à une compétition en présentiel : nous ne pouvons vérifier l'appareil qu'à distance grâce à une caméra. Si nous concourons en personne, nous pouvons consulter sur place ou demander aux organisateurs de vérifier immédiatement toute situation. De plus, le processus en ligne peut entraîner des problèmes inattendus liés aux machines et aux équipements… », a expliqué Hoang.

Une victoire époustouflante et convaincante

Après trois mois de recherche de vulnérabilités, l'heure est enfin venue pour l'équipe vietnamienne de démontrer sa capacité à attaquer des failles de sécurité en un temps record. Nguyen Xuan Hoang, membre de l'équipe, a déclaré : « Dans les autres compétitions de sécurité, il n'y a généralement pas de limite de temps, mais dans celle-ci, nous devons démontrer notre capacité à identifier des vulnérabilités en 30 minutes. Pwn2Own rassemble les cibles et les appareils les plus avancés des plus grandes entreprises technologiques et est équipé des dernières versions logicielles. La tâche des équipes est de trouver des directions d'attaque et de trouver des vulnérabilités jamais découvertes. » Chaque équipe ne peut pirater qu'une seule fois par cible. Plus la cible est difficile, plus le score est élevé. À l'issue de la compétition, la personne ou l'organisation obtenant le score le plus élevé remportera le prix. Notre plus grande inquiétude était qu'il y ait des erreurs en double ou que le fabricant ait découvert et corrigé les failles à temps. Les membres de l'équipe avaient préparé des trous différents, et plus il fallait préparer de points pour la catégorie, plus il fallait anticiper les erreurs. Dans cette partie, l'équipe a obtenu le score total maximum, et il n'y a eu aucune erreur en double comme l'année dernière, ce qui aurait entraîné une déduction de points. Nous étions tellement heureux que nous en avons pleuré », a déclaré Ha Anh Hoang. Le moment le plus excitant a été la finale du SOHO Smashup (petit matériel de bureau). L'obstacle pour l'équipe était psychologique, car elle avait manqué le championnat l'année dernière, elle était donc un peu prudente. Il y a même eu quelques moments où les choses ne se sont pas déroulées comme prévu. Tout le monde était en sueur d'inquiétude. Bien qu'ils aient préparé trois trous, ils ont échoué les deux premières fois. Ce n'est qu'à la troisième fois qu'ils ont réussi que les membres ont fondu en larmes de joie… Les adversaires ont également dû admirer la persévérance de l'équipe vietnamienne.

T. Tho

Bien qu'il s'agisse de sa première participation au concours, Dinh Quang Vu a grandement contribué à la victoire de son équipe dans la catégorie « Vulnérabilité des téléphones portables ». Il s'agit d'une nouvelle catégorie. Vu a déclaré : « Notre équipe a choisi deux appareils mobiles Samsung et Xiaomi. Malgré des recherches et une préparation minutieuses et l'application des correctifs du fabricant avant le concours, nous avons échoué du premier coup avec Samsung. J'étais étouffé et démoralisé à ce moment-là, mais heureusement, nous sommes restés calmes et avons remporté le concours des appareils mobiles Xiaomi. » Après quatre nuits de compétition intense avec les meilleures équipes du monde entier, le 27 octobre à 1 h du matin, l'équipe Viettel a remporté la compétition avec un score total de 30, soit 12,75 points d'avance sur l'équipe classée deuxième. Les jeunes ingénieurs vietnamiens ont remporté haut la main le championnat Pwn2Own, obtenant des scores absolus dans les sept catégories inscrites et remportant un prix de 180 000 USD. Parmi les produits présentant des failles, on compte le Xiaomi 13 Pro, les systèmes de stockage QNAP, les imprimantes Canon, HP et Lexmark, les enceintes connectées Sonos et SOHO Smashup. Cette victoire marque également une nouvelle avancée pour l'industrie vietnamienne de la sécurité informatique, qui remporte pour la première fois le championnat lors d'un prestigieux tournoi international. Outre les récompenses reçues lors de Pwn2Own, les jeunes ingénieurs de VSC ont également découvert plus de 400 vulnérabilités de sécurité zero-day sur des plateformes et systèmes informatiques majeurs tels que Microsoft, Oracle, Google, Apache et VMware.

Aspiration à conquérir de nouveaux sommets

Ne se reposant pas sur ses lauriers, après la compétition, toute l'équipe a commencé à se préparer pour la prochaine compétition, prévue à Tokyo (Japon) début 2024, déterminée à atteindre de nouveaux sommets. Ha Anh Hoang a confié : « Pour remporter la victoire aujourd'hui, nous avons progressé étape par étape, en progressant du plus facile au plus difficile. La victoire de l'équipe est très convaincante, mais nous ne pouvons ignorer les adversaires de cette compétition, car en termes d'expertise, il existe encore des domaines de recherche et des compétences que les équipes étrangères possèdent et que l'équipe Viettel ne peut pas maîtriser. L'objectif immédiat de l'équipe est de trouver de nouveaux sujets de recherche, de détecter les vulnérabilités de sécurité de géants comme Apple et Google... Et l'objectif ultime est de devenir un leader mondial de la sécurité. » Jeune expert vietnamien en sécurité reconnu par la communauté internationale, invité à travailler pour des milliers de dollars par de nombreuses entreprises technologiques de renom, Ngo Anh Huy fait toujours partie de l'équipe Viettel. « Pour moi, relever ce défi ne consiste pas seulement à m'affirmer et à atteindre un nouveau classement en matière de sécurité. Je souhaite rester au Vietnam pour continuer à écrire de nouvelles pages de l'histoire du secteur de la sécurité informatique avec des jeunes qui partagent la même passion et faire connaître le Vietnam à l'international », a déclaré Huy. Selon le colonel Tao Duc Thang, président du conseil d'administration et directeur général de Viettel, il ne s'agit pas d'une compétition pour trouver la bonne réponse, mais plutôt d'un jeu de mots où les jeunes ingénieurs doivent se mesurer aux plus grands fournisseurs et fabricants mondiaux d'équipements technologiques. Derrière ces fournisseurs se cache un très grand groupe comme Canon, Xiaomi… La victoire n'est pas facile, car il est fort possible qu'à la dernière minute, un fournisseur publie des correctifs, rendant les équipes en compétition passives et incapables de réagir. Le colonel Tao Duc Thang estime que la victoire de Pwn2Own 2023 n'est qu'un début. La route est encore longue pour les « white hat hackers », car le domaine de la cybersécurité est vaste, le cyberespace est vaste et de nombreux défis attendent les jeunes ingénieurs. Il n’y a pas que le domaine de l’IoT qui s’arrête, il y a aussi les domaines de l’industrie, de l’énergie, de l’électricité, de la sécurité… les jeunes ingénieurs ont l’opportunité de s’affirmer.