Rencontrez nos hackers

Rencontrez nos hackers

Il y a peu, notre expert cybersécurité / lead-auditor a été interviewé par les équipes de la plateforme de Bug Bounty YogoSha. Ce véritable passionné de cybersécurité est revenu sur son parcours, ses motivations et sources d’inspirations. Un jeu de questions-réponses auxquelles il s’est prêté sur leur Blog.

 Posté par 

1. Bonjour Yann. Dis-nous un peu qui tu es et d’où te vient cette passion du hacking

Salut Elodie ! Pour moi, tout a commencé très tôt : lorsque j’avais 5 ans, mon père équipait notre foyer d’un ordinateur familial. Vers l’âge de 10 ans, j’ai commencé à m’intéresser à diverses techniques de compromission de machines. C’était l’époque glorieuse des « trojans »et autres RAT (Netbus, Subseven, backorifice…) : j’étais fasciné de voir qu’on pouvait prendre aussi facilement le contrôle de machines à distance.

Crowdsourced security

Au collège, il m’arrivait de faire des « heures-sup’ » à réparer les PC de certains professeurs. Je me suis d’ailleurs vite rendu compte que le serveur principal n’était pas vraiment sécurisé, et laissait la porte ouverte à de nombreux actes malveillants : récupération de devoirs, contrôle des salles multimédias, visualisation des écrans des postes des enseignants (VNC like) à leur insu, obtention des notations…

Mais de nature plutôt sérieuse, j’ai remonté ces différentes brèches afin qu’ils renforcent le système. On était déjà dans du responsible disclosure à l’époque !

Après des études axées informatiques, j’ai continué à affûter mes connaissances en sécurité en autodidactie par passion, plaisir et perspective. Depuis, je me suis installé à Rennes, où je suis à la fois Bug Hunter sur diverses plateformes dont Yogosha, et lead-auditor chez SYNETIS, une entreprise dédiée à la cybersécurité. J’ai également la chance de sensibiliser les élèves de l’Ecole Polytechnique de l’Université de Nantes à la sécurité offensive. J’ai toujours été attiré par l’aspect pédagogique de la sécurité, et je pense qu’on ne peut pas enseigner la sécurité sans évoquer l’insécurité, les raisons des vulnérabilités, et apprendre à les comprendre et les manipuler.

Quote crowdsourced security

2. Pourquoi aimes-tu le Bug Bounty ? 

Le Bug Bounty véhicule des valeurs intrinsèques de la sécurité : la curiosité, l’envie de se dépasser, et le partage d’expertises. Il permet de concrétiser toutes ses connaissances. C’est très enrichissant d’apprendre de nouvelles techniques, de dompter des vulnérabilités via des « simulateurs » (plateformes de challenges, CTF, etc.), mais c’est bien plus passionnant et gratifiant de les mettre en application sur des vraies cibles de production, et de contribuer concrètement à améliorer l’existant.

Évidemment, la reconnaissance des clients est un point important (ainsi que les bounties ! :). Après, chacun a ses motivations. Lorsque Yogosha a lancé un programme bénévole pour Amnesty international, le manque de rémunération n’a pas empêché certains hunters, dont je faisais partie, de s’investir dans la mission.

Si l’on veut vraiment progresser dans ce milieu, rien de mieux que l’entraide au sein de la communauté.  Chez Yogosha par exemple, on est une communauté restreinte, le contact est très facile entre nous, et l’équipe est super accessible, humaine, et à l’écoute.

Il y a aussi une tolérance et un respect lié au mérite très honorable dans le métier de Bug Hunter. Il faut être capable de réfléchir, d’analyser, d’aborder des problématiques techniques sur des systèmes sous un angle pas forcément académique pour en découvrir les faiblesses.

C’est pourquoi des profils atypiques, n’ayant pas suivi un cursus universitaire formaté, sont particulièrement intéressants. La sécurité informatique, et surtout le Bug Bounty, sont des milieux accessibles à tous.

Ce que j’apprécie particulièrement chez Yogosha, c’est le soutien de l’équipe. Déjà, on laisse leur chance aux nouveaux hunters, en n’ouvrant pas les programmes uniquement aux premiers du classement. Les rewards sont tout à fait honorables, on a toujours la possibilité de pouvoir justifier la criticité d’une vulnérabilité, et on peut compter sur l’équipe de Yogosha pour nous appuyer sur nos notations et scénarios d’attaques. Sur la plateforme, il y a également possibilité d’échanger avec le client, l’équipe et le hunter.

Quote crowdsourced security

3. Quels programmes de Bug Bounty t’ont le plus marqué ?

On rencontre souvent des bugs surprenants, c’est ce qui fait la richesse de ce métier. Pour ma part, les bugs les plus atypiques que j’ai pu déceler, c’était dans des programmes de Yogosha.

Un jour, la cible à analyser était une simple adresse IP, pour une entreprise rattachée au secteur de l’Assurance . Au début, je pensais qu’il n’y avait pas grand-chose à se mettre sous la dent, jusqu’à ce que je remarque un service web exposé sur un port exotique.

En se connectant dessus, une page d’authentification d’une interface web demandait un login et un mot de passe pour accéder à un équipement AC22 Controller. Cet équipement était une carte électronique incrustée dans les murs des locaux, qui contrôlait l’accès aux portes physiques. Les em

crowdsourced security

ployés devaient badger devant la porte pour entrer et sortir des locaux et des zones sécurisées.

Après avoir trouvé les identifiants laissés par défaut dans la documentation du constructeur, il était possible d’ouvrir les portes à distance, ou encore d’enfermer et séquestrer les gens dans les locaux.

Les caméras pouvaient également être contrôlées par le biais de cette interface. Parfois, les meilleurs bounty sont ceux auxquels on ne s’attend pas. A partir d’une adresse IP, on peut trouver des choses réellement surprenantes.

L’entreprise a alors tout intérêt à ce que nous, hunters, lui remontions les vulnérabilités et faiblesses avant qu’un assaillant malintentionné ne les exploite.

Toujours chez Yogosha, je me suis attaqué à un Bug Bounty sur un site web il y a quelques mois, avant de me rendre compte qu’il avait déjà été visité par un réel pirate. Cela faisait en effet plus de 4 ans que le site était infecté (backdoor ASP .Net, sous-espaces defaced, etc.). L’information a été aussitôt remontée aux équipes de sécurité, en leur expliquant que même si la brèche initiale utilisée (WebDAV) par les

Pour en savoir plus sur Yogosha, n’hésitez pas à visiter le blog :    

2018-11-15T09:30:52+00:00

About the Author:

  • Français
  • English
For privacy reasons Twitter needs your permission to be loaded. For more details, please see our Politique de confidentialité.
I Accept