Les « chouchous » du monde de la cybersécurité.

« Mangez, dormez et respirez avec… des trous. »

En 2023, l'équipe Viettel participait pour la quatrième fois à la compétition Pwn2Own et a enfin décroché la victoire. Après une première participation à titre d'entraînement, elle s'est hissée dans le top 5 dès 2021. En 2022, elle a manqué de peu le titre et a terminé deuxième, un résultat décevant. Ngo Anh Huy, capitaine de l'équipe, a déclaré : « Pwn2Own est la plus grande et la plus prestigieuse compétition de cyberattaques au monde , la "Coupe du monde" de la cybersécurité, avec des prix se chiffrant en millions de dollars. Les cibles sont des appareils et des logiciels populaires dans le monde entier, provenant de fournisseurs leaders comme Microsoft, Apple, Google, Samsung, Xiaomi… »

La compétition Pwn20wn, qui s'est déroulée du 24 au 27 octobre 2023 à Toronto, au Canada, a vu s'affronter 14 jeunes hommes, dont le plus jeune avait seulement 20 ans, tous déterminés à remporter la victoire. Contrairement aux éditions précédentes, où ils s'étaient concentrés sur la recherche de nombreuses vulnérabilités, cette jeune équipe d'ingénieurs a cette fois-ci développé une stratégie systématique, privilégiant la recherche et l'exploitation de failles moins connues. L'une des principales préoccupations du chef d'équipe, Ngo Anh Huy, était de fédérer les membres de l'équipe autour d'un travail collaboratif. Durant les deux dernières semaines avant la compétition, toute l'équipe a travaillé 20 heures par jour, quasiment sans interruption, préparant des rapports pour les organisateurs tout en testant, mettant à jour et corrigeant les vulnérabilités. « Les vulnérabilités peuvent facilement être découvertes et corrigées par le fabricant avant la compétition. C'est pourquoi nous devons généralement en trouver le plus possible et préparer des plans d'attaque de secours si nous voulons obtenir le meilleur score », a ajouté Ha Anh Hoang, membre de l'équipe. Tout était minutieusement préparé, il ne manquait plus que le jour du départ pour le Canada afin de participer à la compétition. Malheureusement, à quelques jours de l'événement, toute l'équipe n'avait toujours pas reçu son visa. « Au lieu de concourir en personne, l'équipe Viettel a dû participer en ligne, depuis chez elle. C'est un inconvénient majeur par rapport à une compétition en présentiel, car nous ne pouvons vérifier le matériel qu'à distance, par webcam. Si nous avions concouru sur place, nous aurions pu consulter les organisateurs ou leur demander de résoudre immédiatement tout problème. De plus, le processus en ligne peut subir des dysfonctionnements imprévus liés au matériel… », a raconté Hoang.

Une victoire époustouflante et convaincante.

Après trois mois passés à « manger, dormir et traquer les vulnérabilités », le moment de vérité est arrivé : l'équipe vietnamienne devait démontrer sa capacité à exploiter des failles de sécurité en un temps record. Nguyen Xuan Hoang, membre de l'équipe, explique : « Dans les autres compétitions de sécurité, il n'y a généralement pas de limite de temps, mais ici, nous devions démontrer notre capacité à découvrir une vulnérabilité en 30 minutes. Pwn2Own réunit les cibles et les appareils les plus sophistiqués des grandes entreprises technologiques, tous équipés des dernières versions logicielles. Chaque équipe doit trouver des méthodes d'attaque et découvrir des vulnérabilités jusqu'alors inconnues. » Chaque équipe n'a droit qu'à une seule tentative de piratage par cible. Plus la cible est difficile, plus le score est élevé. À la fin de la compétition, la personne ou l'organisation ayant obtenu le meilleur score remportera le prix. « Notre plus grande crainte était la duplication des erreurs ou que le fabricant ne découvre et ne corrige les défauts à temps. Les membres de l'équipe avaient préparé différents défauts ; plus une catégorie rapportait de points, plus nous devions en préparer. Dans cette section, l'équipe a obtenu le score maximal, sans défauts dupliqués comme l'année dernière, ce qui avait entraîné des pénalités. Nous étions ravis », a déclaré Ha Anh Hoang. La partie la plus stressante a été l'épreuve finale, le SOHO Smashup (petit matériel de bureau). L'obstacle pour l'équipe était psychologique, car elle avait manqué le championnat l'année précédente et se montrait donc un peu prudente. Il y a même eu des moments où les choses ne se sont pas déroulées comme prévu. L'anxiété était palpable. Bien qu'ils aient préparé trois défauts, les deux premières tentatives ont échoué. Ce n'est qu'à la troisième tentative qu'ils ont réussi, et les membres de l'équipe ont explosé de joie… Les concurrents ont également été impressionnés par la ténacité de l'équipe vietnamienne.

T. Thọ

Participant pour la première fois à la compétition, Dinh Quang Vu a joué un rôle crucial dans la victoire de son équipe dans la catégorie « vulnérabilités des téléphones mobiles », une nouvelle catégorie introduite lors de la compétition. Vu a déclaré : « Notre équipe a choisi deux appareils mobiles, un Samsung et un Xiaomi. Malgré des recherches et une préparation minutieuses, et même en ayant contourné les correctifs des fabricants avant le jour de la compétition, nous avons échoué lors de notre première tentative avec le Samsung. C'était extrêmement stressant, mais heureusement, nous avons gardé notre sang-froid et remporté le défi avec le Xiaomi. » Après quatre nuits de compétition intense contre les meilleures équipes du monde, à 1 h du matin le 27 octobre, l'équipe Viettel a réussi tous les défis avec un score total de 30, devançant largement l'équipe arrivée deuxième de 12,75 points. Les jeunes ingénieurs vietnamiens ont remporté avec brio le championnat Pwn2Own, obtenant des scores parfaits dans les sept catégories et empochant un prix de 180 000 $. Parmi les produits présentant des vulnérabilités, on retrouve le Xiaomi 13 Pro, les systèmes de stockage QNAP, les imprimantes Canon, HP et Lexmark, les enceintes connectées Sonos et SOHO Smashup. Cette victoire marque une avancée majeure pour le secteur vietnamien de la sécurité informatique, puisqu'il s'agit de sa première victoire dans une compétition internationale aussi prestigieuse. Outre ce prix remporté lors du concours Pwn2Own, de jeunes ingénieurs de la société VSC ont également découvert plus de 400 failles de sécurité zero-day dans des plateformes et systèmes informatiques de premier plan tels que Microsoft, Oracle, Google, Apache et VMware.

L'ambition de conquérir de nouveaux sommets.

Loin de se reposer sur leurs lauriers, après la compétition, l'équipe s'est immédiatement mise à préparer la prochaine, prévue à Tokyo (Japon) début 2024, avec la ferme intention de viser encore plus haut. Ha Anh Hoang a confié : « Pour remporter cette victoire, nous avons franchi chaque étape une à une, en progressant du plus simple au plus complexe. La victoire de l'équipe est très convaincante, mais nous ne pouvons pas sous-estimer nos concurrents, car en termes d'expertise, certaines équipes étrangères possèdent des domaines de recherche et des capacités que l'équipe Viettel ne maîtrise pas encore. L'objectif immédiat de l'équipe est de trouver de nouveaux sujets de recherche, de découvrir les failles de sécurité des géants du numérique comme Apple et Google… Et l'objectif à plus long terme est de devenir un leader mondial de la sécurité informatique. » Reconnu par la communauté internationale comme l'un des jeunes experts en sécurité du Vietnam, et ayant reçu des offres d'emploi de nombreuses entreprises technologiques de renom avec des salaires se chiffrant en milliers de dollars, Ngo Anh Huy reste pleinement engagé auprès de l'équipe Viettel. « Pour moi, relever des défis ne se résume pas à faire mes preuves et à obtenir de nouveaux classements en sécurité ; je souhaite rester au Vietnam pour rejoindre d'autres jeunes animés par la même passion et écrire de nouveaux chapitres de l'histoire de la sécurité de l'information, faisant ainsi rayonner le Vietnam sur la scène internationale », a confié Huy. Selon le colonel Tao Duc Thang, président-directeur général de Viettel, il ne s'agit pas d'une compétition visant à trouver la solution idéale, mais plutôt d'un jeu de devinettes où de jeunes ingénieurs doivent se mesurer aux principaux fournisseurs et fabricants mondiaux d'équipements technologiques. Derrière ces fournisseurs se cachent d'immenses entreprises comme Canon et Xiaomi… La victoire n'est pas chose aisée, car il est tout à fait possible que les fournisseurs publient des correctifs à la dernière minute, prenant les équipes participantes au dépourvu. Le colonel Tao Duc Thang est convaincu que remporter le championnat Pwn2Own 2023 n'est qu'un début. Le chemin est encore long pour les « hackers éthiques », car le domaine de la cybersécurité est vaste, le cyberespace immense, et de nombreux défis attendent les jeunes ingénieurs. Cela ne se limite pas à l'Internet des objets (IoT) ; Il existe aussi des domaines comme l'industrie, l'énergie, le génie électrique, la sécurité, et bien d'autres, où les jeunes ingénieurs ont la possibilité de faire leurs preuves.