2025: WE BROKE THINGS, WE BUILT THINGS, WE BROKE EVEN MORE THINGS

Bilan Annuel : Succès et Défis dans la Cybersécurité

L’année 2025 a été marquée par des avancées significatives et des revers instructifs dans le domaine de la cybersécurité. La participation à des compétitions de renom comme Pwn2Own Berlin et Irlande a permis de remporter le titre de “Master of Pwn” et de démontrer des compétences en matière d’exploitation de dispositifs, malgré quelques tentatives manquées.

L’organisation de la deuxième édition de la conférence Off-By-One a rassemblé environ 300 participants pour une variété d’activités, incluant un CTF de type “speedrun”, des démonstrations de piratage de machines à peser intelligentes, des concours de crochetage de serrures et des défis de sécurité sur les objets promotionnels de la conférence. Un soutien généreux a permis à de nombreux étudiants d’y assister gratuitement, et des fonds non utilisés pour les déplacements des intervenants ont été reversés à la Singapore Children’s Cancer Foundation.

Plusieurs membres de l’équipe ont été reconnus dans le classement MSRC Top 100 de Microsoft, attestant de leur contribution à la sécurité de leurs produits. Des présentations de recherche ont été données lors de conférences internationales telles que Code Blue Japan et HITCON, abordant des sujets variés, dont l’intelligence artificielle appliquée à la sécurité.

La création de challenges de sécurité variés, tels que le Windows Exploitation Challenge, Summer Pwnables, et la participation à Hex Advent pour Women in Tech Singapore, a contribué à stimuler la communauté et à offrir des opportunités d’apprentissage. Des soutiens ont également été apportés à d’autres événements comme NanoSec Asia et RE//verse.

Des initiatives de responsabilité sociale d’entreprise ont été mises en place, notamment la distribution de repas à des écoliers et des personnes dans le besoin, soulignant la philosophie de ne jamais exploiter les vulnérabilités humaines.

Cependant, l’année a également été ponctuée d’échecs, tels que la destruction d’une quantité significative de matériel lors de recherches sur le matériel (“The Device Graveyard”) et l’exploration de nombreuses pistes de recherche qui n’ont abouti à aucune exploitation (“The Research Black Holes”). Ces revers, bien qu’embarrassants, sont considérés comme des étapes essentielles du processus d’apprentissage et de développement.

Points Clés:

• Participation et succès aux compétitions Pwn2Own (Berlin et Irlande).
• Organisation réussie de la conférence Off-By-One, incluant des défis variés et un engagement caritatif.
• Reconnaissance dans le classement MSRC Top 100 de Microsoft.
• Présentations de recherche lors de conférences internationales (Code Blue Japan, HITCON).
• Création et animation de challenges de sécurité pour la communauté.
• Soutien à d’autres événements de cybersécurité.
• Mise en œuvre d’initiatives de responsabilité sociale.
• Acceptation des échecs et des revers comme des opportunités d’apprentissage.

Vulnérabilités:

L’article ne détaille pas de vulnérabilités spécifiques avec des identifiants CVE. Il fait plutôt référence à des succès dans l’exploitation de dispositifs et à la découverte de “0-days” dans le cadre de défis.

Recommandations:

Bien que l’article ne fournisse pas de recommandations directes sous forme de liste, on peut déduire une philosophie axée sur :

• L’importance de l’apprentissage par l’expérience, y compris par l’échec.
• La valeur de la collaboration et du partage au sein de la communauté de la cybersécurité.
• La nécessité de la recherche et du développement continus, même face à des impasses.
• L’importance de soutenir la formation et l’éducation, en particulier pour les étudiants et les groupes sous-représentés.
• L’éthique fondamentale : exploiter les failles techniques, pas les personnes.

Source