Bonjour de l'autre côté. Entretien avec un chasseur de primes aux insectes.
Au début de ce mois, le chasseur de bugs belge, Inti De Ceukelaire a révélé un piratage créatif qui affecte des centaines d'entreprises. L'astuce consiste à exploiter une logique commerciale dans les services d'assistance et les systèmes de suivi des problèmes les plus répandus pour accéder aux intranets, aux comptes de médias sociaux ou, le plus souvent, aux équipes Yammer et Slack. Vous pouvez lire les détails sur le blog d sur le blog d'Inti. J'ai été impressionné par la créativité nécessaire pour mettre au point cet exploit et curieux de connaître le processus impliqué, j'ai donc décidé de poser quelques questions à Inti, et je partage ses réponses avec vous.
Bonjour Inti, pouvez-vous vous présenter brièvement à nos lecteurs ?
Je suis Inti, chasseur de bugs chez Intigriti et Hackerone. Je vis à Alost (Belgique) et je passe mes journées à casser des trucs.
La semaine dernière, j'ai lu votre article de blog sur ce que vous avez appelé depuis "Ticket Trick" et j'ai été impressionné par la créativité dont vous avez fait preuve pour trouver cet exploit. Comment vous est venue l'idée d'essayer cette astuce ?
Je participe à des programmes de primes aux bugs, ce qui signifie que certains sites web offrent de l'argent aux chercheurs en sécurité responsables qui découvrent des vulnérabilités uniques. Comme il y a beaucoup de concurrence, vous devez continuer à chercher des choses que d'autres n'ont pas encore trouvées. J'ai pensé que Slack était un vecteur d'attaque intéressant parce qu'il contient souvent des informations sensibles et qu'il suffit parfois d'une adresse électronique valide de l'entreprise. J'ai donc pris une bière, je me suis allongé sur le canapé et j'ai commencé à réfléchir à tous les vecteurs d'attaque possibles. Soudain, j'ai eu une idée folle, qui s'est avérée efficace. En général, j'essaie tout ce qui me passe par la tête. Même si cela ne fonctionne que quelques fois, c'est payant ;-)
En tant que personne travaillant habituellement du côté opposé, essayant de sécuriser le code, je me demande souvent à quoi ressemble une session de pentesting. Où travaillez-vous ? Est-ce quelque chose que vous faites également pendant votre temps libre depuis votre canapé ? Ou travaillez-vous dans un bureau ?
Pendant la journée, je travaille comme codeur créatif numérique dans une station de radio appelée Studio Brussel. Cela implique un peu de programmation et un peu de médias sociaux, mais pas de sécurité. J'essaie de ne pas mélanger mon hobby avec mon travail professionnel. J'ai peur de perdre ma créativité si je le fais. Je ne pirate pas très souvent : au maximum quelques heures par semaine. Je peux le faire à la table, sur le canapé ou sur mon lit - ce qui me convient le mieux à ce moment-là.
Comment commencez-vous ? Disposez-vous d'une antisèche ? Disposez-vous de quelques données pour vérifier si la validation des entrées ou l'échappement des sorties sont suffisants ?
Je suis très chaotique, donc je n'ai pas vraiment de liste de contrôle, je me fie à mon intuition. La plupart du temps, je commence par ce que l'on appelle la reconnaissance : je répertorie toutes les informations intéressantes sur la cible, les sous-domaines, les adresses IP, tout ce que je peux trouver. J'essaie d'avoir une vue d'ensemble et de comprendre la logique de l'entreprise avant même de commencer à pirater. Si vous ne recherchez que les vulnérabilités classiques, vous passerez à côté des failles les plus intelligentes et les plus complexes. En ce qui concerne les données d'entrée, j'essaie de couvrir le plus grand nombre possible de vulnérabilités dans une seule charge utile. Chaque fois que je découvre quelque chose d'intéressant, je joue avec pendant un certain temps et j'y jette un tas d'absurdités, juste pour voir comment le système y réagit. Les meilleurs bugs se trouvent souvent dans les parties les plus éloignées d'une application web, c'est pourquoi j'essaie de creuser aussi profondément que possible.
Selon vous, qu'est-ce qui fait un bon pentester ? Avez-vous des astuces à nous faire partager ?
Je ne suis pas un pentester et je ne peux donc pas vraiment parler pour les pentesters en général, mais je pense que la motivation et la persévérance sont les atouts les plus importants. La plupart des gens n'envisagent même pas de chercher des failles de sécurité chez Google, qui dispose des meilleurs ingénieurs du monde, et qui paie pourtant des millions de primes aux bugs chaque année. Je travaille sur une cible depuis plus de deux ans et je commence maintenant à trouver les bogues les plus intéressants. Cela prend du temps. Le problème avec le pentesting normal est que les testeurs sont récompensés par un montant fixe, qu'ils trouvent des vulnérabilités critiques ou non. Je pense qu'il y a encore beaucoup de bogues dans Facebook, il suffit que quelqu'un soit prêt à creuser assez profondément.
Lorsque vous avez réalisé l'ampleur du Ticket Trick, quelle a été votre première réaction ?
Mes sentiments étaient partagés. J'ai été stupéfait et j'ai immédiatement pensé aux primes de bogues que je pourrais collecter avec cela, mais d'un autre côté, j'ai été choqué que cela soit possible. Chaque fois que vous trouvez quelque chose comme cela, vous possédez soudain un grand nombre d'informations précieuses qui pourraient intéresser des parties malveillantes. Le processus de divulgation est difficile : vous devez informer le plus grand nombre possible d'entreprises concernées, mais d'un autre côté, vous devez vous assurer que les informations ne font pas l'objet d'une fuite ou d'une utilisation abusive.
Pourquoi avez-vous décidé de divulguer ces informations avant de collecter d'autres primes ?
Il est plus important de faire ce qui est juste que de collecter des primes. Je pense que j'ai eu ma part du gâteau et je veux maintenant rendre à la communauté ce qu'elle m'a donné. En outre, j'ai informé les entreprises de ce problème pendant des mois, de sorte que de plus en plus de gens sont au courant. Je ne voulais pas qu'il y ait des fuites ou des abus de la part de personnes mal intentionnées.
Que pensez-vous des réponses des entreprises concernées ?
La plupart des réponses ont été satisfaisantes. Certaines entreprises ne s'en souciaient pas vraiment, mais en fin de compte, c'est leur perte. Être rejeté en tant que chercheur en sécurité fait partie du jeu. Au moins, je n'ai pas été poursuivi en justice. Il y a 10 ans, cela aurait probablement été le cas.
Une dernière question, sur reddit j'ai lu que vous avez réclamé 8000$ en bug bounties, avez-vous des plans sympas pour dépenser cet argent ?
Au total, ce bug m'a rapporté plus de 20 000 dollars. Plus de la moitié de cette somme est consacrée aux impôts. Je dépense le reste pour des choses normales comme des voyages, des sorties au restaurant, ... rien d'extraordinaire :-)
Merci beaucoup pour votre temps et bonne chance pour la chasse à l'avenir !
Le bogue existe toujours. Il ne peut pas être corrigé immédiatement. Au cours des derniers mois, j'ai contacté des dizaines d'entreprises et de fournisseurs concernés dans le cadre de leurs programmes de primes à la détection de bogues afin que leur installation soit corrigée.


Le bogue existe toujours. Il ne peut pas être corrigé immédiatement. Au cours des derniers mois, j'ai contacté des dizaines d'entreprises et de fournisseurs concernés dans le cadre de leurs programmes de primes à la détection de bogues afin que leur installation soit corrigée.
Chercheur en sécurité applicative - Ingénieur R&D - Doctorant

Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationChercheur en sécurité applicative - Ingénieur R&D - Doctorant


Au début de ce mois, le chasseur de bugs belge, Inti De Ceukelaire a révélé un piratage créatif qui affecte des centaines d'entreprises. L'astuce consiste à exploiter une logique commerciale dans les services d'assistance et les systèmes de suivi des problèmes les plus répandus pour accéder aux intranets, aux comptes de médias sociaux ou, le plus souvent, aux équipes Yammer et Slack. Vous pouvez lire les détails sur le blog d sur le blog d'Inti. J'ai été impressionné par la créativité nécessaire pour mettre au point cet exploit et curieux de connaître le processus impliqué, j'ai donc décidé de poser quelques questions à Inti, et je partage ses réponses avec vous.
Bonjour Inti, pouvez-vous vous présenter brièvement à nos lecteurs ?
Je suis Inti, chasseur de bugs chez Intigriti et Hackerone. Je vis à Alost (Belgique) et je passe mes journées à casser des trucs.
La semaine dernière, j'ai lu votre article de blog sur ce que vous avez appelé depuis "Ticket Trick" et j'ai été impressionné par la créativité dont vous avez fait preuve pour trouver cet exploit. Comment vous est venue l'idée d'essayer cette astuce ?
Je participe à des programmes de primes aux bugs, ce qui signifie que certains sites web offrent de l'argent aux chercheurs en sécurité responsables qui découvrent des vulnérabilités uniques. Comme il y a beaucoup de concurrence, vous devez continuer à chercher des choses que d'autres n'ont pas encore trouvées. J'ai pensé que Slack était un vecteur d'attaque intéressant parce qu'il contient souvent des informations sensibles et qu'il suffit parfois d'une adresse électronique valide de l'entreprise. J'ai donc pris une bière, je me suis allongé sur le canapé et j'ai commencé à réfléchir à tous les vecteurs d'attaque possibles. Soudain, j'ai eu une idée folle, qui s'est avérée efficace. En général, j'essaie tout ce qui me passe par la tête. Même si cela ne fonctionne que quelques fois, c'est payant ;-)
En tant que personne travaillant habituellement du côté opposé, essayant de sécuriser le code, je me demande souvent à quoi ressemble une session de pentesting. Où travaillez-vous ? Est-ce quelque chose que vous faites également pendant votre temps libre depuis votre canapé ? Ou travaillez-vous dans un bureau ?
Pendant la journée, je travaille comme codeur créatif numérique dans une station de radio appelée Studio Brussel. Cela implique un peu de programmation et un peu de médias sociaux, mais pas de sécurité. J'essaie de ne pas mélanger mon hobby avec mon travail professionnel. J'ai peur de perdre ma créativité si je le fais. Je ne pirate pas très souvent : au maximum quelques heures par semaine. Je peux le faire à la table, sur le canapé ou sur mon lit - ce qui me convient le mieux à ce moment-là.
Comment commencez-vous ? Disposez-vous d'une antisèche ? Disposez-vous de quelques données pour vérifier si la validation des entrées ou l'échappement des sorties sont suffisants ?
Je suis très chaotique, donc je n'ai pas vraiment de liste de contrôle, je me fie à mon intuition. La plupart du temps, je commence par ce que l'on appelle la reconnaissance : je répertorie toutes les informations intéressantes sur la cible, les sous-domaines, les adresses IP, tout ce que je peux trouver. J'essaie d'avoir une vue d'ensemble et de comprendre la logique de l'entreprise avant même de commencer à pirater. Si vous ne recherchez que les vulnérabilités classiques, vous passerez à côté des failles les plus intelligentes et les plus complexes. En ce qui concerne les données d'entrée, j'essaie de couvrir le plus grand nombre possible de vulnérabilités dans une seule charge utile. Chaque fois que je découvre quelque chose d'intéressant, je joue avec pendant un certain temps et j'y jette un tas d'absurdités, juste pour voir comment le système y réagit. Les meilleurs bugs se trouvent souvent dans les parties les plus éloignées d'une application web, c'est pourquoi j'essaie de creuser aussi profondément que possible.
Selon vous, qu'est-ce qui fait un bon pentester ? Avez-vous des astuces à nous faire partager ?
Je ne suis pas un pentester et je ne peux donc pas vraiment parler pour les pentesters en général, mais je pense que la motivation et la persévérance sont les atouts les plus importants. La plupart des gens n'envisagent même pas de chercher des failles de sécurité chez Google, qui dispose des meilleurs ingénieurs du monde, et qui paie pourtant des millions de primes aux bugs chaque année. Je travaille sur une cible depuis plus de deux ans et je commence maintenant à trouver les bogues les plus intéressants. Cela prend du temps. Le problème avec le pentesting normal est que les testeurs sont récompensés par un montant fixe, qu'ils trouvent des vulnérabilités critiques ou non. Je pense qu'il y a encore beaucoup de bogues dans Facebook, il suffit que quelqu'un soit prêt à creuser assez profondément.
Lorsque vous avez réalisé l'ampleur du Ticket Trick, quelle a été votre première réaction ?
Mes sentiments étaient partagés. J'ai été stupéfait et j'ai immédiatement pensé aux primes de bogues que je pourrais collecter avec cela, mais d'un autre côté, j'ai été choqué que cela soit possible. Chaque fois que vous trouvez quelque chose comme cela, vous possédez soudain un grand nombre d'informations précieuses qui pourraient intéresser des parties malveillantes. Le processus de divulgation est difficile : vous devez informer le plus grand nombre possible d'entreprises concernées, mais d'un autre côté, vous devez vous assurer que les informations ne font pas l'objet d'une fuite ou d'une utilisation abusive.
Pourquoi avez-vous décidé de divulguer ces informations avant de collecter d'autres primes ?
Il est plus important de faire ce qui est juste que de collecter des primes. Je pense que j'ai eu ma part du gâteau et je veux maintenant rendre à la communauté ce qu'elle m'a donné. En outre, j'ai informé les entreprises de ce problème pendant des mois, de sorte que de plus en plus de gens sont au courant. Je ne voulais pas qu'il y ait des fuites ou des abus de la part de personnes mal intentionnées.
Que pensez-vous des réponses des entreprises concernées ?
La plupart des réponses ont été satisfaisantes. Certaines entreprises ne s'en souciaient pas vraiment, mais en fin de compte, c'est leur perte. Être rejeté en tant que chercheur en sécurité fait partie du jeu. Au moins, je n'ai pas été poursuivi en justice. Il y a 10 ans, cela aurait probablement été le cas.
Une dernière question, sur reddit j'ai lu que vous avez réclamé 8000$ en bug bounties, avez-vous des plans sympas pour dépenser cet argent ?
Au total, ce bug m'a rapporté plus de 20 000 dollars. Plus de la moitié de cette somme est consacrée aux impôts. Je dépense le reste pour des choses normales comme des voyages, des sorties au restaurant, ... rien d'extraordinaire :-)
Merci beaucoup pour votre temps et bonne chance pour la chasse à l'avenir !
Le bogue existe toujours. Il ne peut pas être corrigé immédiatement. Au cours des derniers mois, j'ai contacté des dizaines d'entreprises et de fournisseurs concernés dans le cadre de leurs programmes de primes à la détection de bogues afin que leur installation soit corrigée.

Au début de ce mois, le chasseur de bugs belge, Inti De Ceukelaire a révélé un piratage créatif qui affecte des centaines d'entreprises. L'astuce consiste à exploiter une logique commerciale dans les services d'assistance et les systèmes de suivi des problèmes les plus répandus pour accéder aux intranets, aux comptes de médias sociaux ou, le plus souvent, aux équipes Yammer et Slack. Vous pouvez lire les détails sur le blog d sur le blog d'Inti. J'ai été impressionné par la créativité nécessaire pour mettre au point cet exploit et curieux de connaître le processus impliqué, j'ai donc décidé de poser quelques questions à Inti, et je partage ses réponses avec vous.
Bonjour Inti, pouvez-vous vous présenter brièvement à nos lecteurs ?
Je suis Inti, chasseur de bugs chez Intigriti et Hackerone. Je vis à Alost (Belgique) et je passe mes journées à casser des trucs.
La semaine dernière, j'ai lu votre article de blog sur ce que vous avez appelé depuis "Ticket Trick" et j'ai été impressionné par la créativité dont vous avez fait preuve pour trouver cet exploit. Comment vous est venue l'idée d'essayer cette astuce ?
Je participe à des programmes de primes aux bugs, ce qui signifie que certains sites web offrent de l'argent aux chercheurs en sécurité responsables qui découvrent des vulnérabilités uniques. Comme il y a beaucoup de concurrence, vous devez continuer à chercher des choses que d'autres n'ont pas encore trouvées. J'ai pensé que Slack était un vecteur d'attaque intéressant parce qu'il contient souvent des informations sensibles et qu'il suffit parfois d'une adresse électronique valide de l'entreprise. J'ai donc pris une bière, je me suis allongé sur le canapé et j'ai commencé à réfléchir à tous les vecteurs d'attaque possibles. Soudain, j'ai eu une idée folle, qui s'est avérée efficace. En général, j'essaie tout ce qui me passe par la tête. Même si cela ne fonctionne que quelques fois, c'est payant ;-)
En tant que personne travaillant habituellement du côté opposé, essayant de sécuriser le code, je me demande souvent à quoi ressemble une session de pentesting. Où travaillez-vous ? Est-ce quelque chose que vous faites également pendant votre temps libre depuis votre canapé ? Ou travaillez-vous dans un bureau ?
Pendant la journée, je travaille comme codeur créatif numérique dans une station de radio appelée Studio Brussel. Cela implique un peu de programmation et un peu de médias sociaux, mais pas de sécurité. J'essaie de ne pas mélanger mon hobby avec mon travail professionnel. J'ai peur de perdre ma créativité si je le fais. Je ne pirate pas très souvent : au maximum quelques heures par semaine. Je peux le faire à la table, sur le canapé ou sur mon lit - ce qui me convient le mieux à ce moment-là.
Comment commencez-vous ? Disposez-vous d'une antisèche ? Disposez-vous de quelques données pour vérifier si la validation des entrées ou l'échappement des sorties sont suffisants ?
Je suis très chaotique, donc je n'ai pas vraiment de liste de contrôle, je me fie à mon intuition. La plupart du temps, je commence par ce que l'on appelle la reconnaissance : je répertorie toutes les informations intéressantes sur la cible, les sous-domaines, les adresses IP, tout ce que je peux trouver. J'essaie d'avoir une vue d'ensemble et de comprendre la logique de l'entreprise avant même de commencer à pirater. Si vous ne recherchez que les vulnérabilités classiques, vous passerez à côté des failles les plus intelligentes et les plus complexes. En ce qui concerne les données d'entrée, j'essaie de couvrir le plus grand nombre possible de vulnérabilités dans une seule charge utile. Chaque fois que je découvre quelque chose d'intéressant, je joue avec pendant un certain temps et j'y jette un tas d'absurdités, juste pour voir comment le système y réagit. Les meilleurs bugs se trouvent souvent dans les parties les plus éloignées d'une application web, c'est pourquoi j'essaie de creuser aussi profondément que possible.
Selon vous, qu'est-ce qui fait un bon pentester ? Avez-vous des astuces à nous faire partager ?
Je ne suis pas un pentester et je ne peux donc pas vraiment parler pour les pentesters en général, mais je pense que la motivation et la persévérance sont les atouts les plus importants. La plupart des gens n'envisagent même pas de chercher des failles de sécurité chez Google, qui dispose des meilleurs ingénieurs du monde, et qui paie pourtant des millions de primes aux bugs chaque année. Je travaille sur une cible depuis plus de deux ans et je commence maintenant à trouver les bogues les plus intéressants. Cela prend du temps. Le problème avec le pentesting normal est que les testeurs sont récompensés par un montant fixe, qu'ils trouvent des vulnérabilités critiques ou non. Je pense qu'il y a encore beaucoup de bogues dans Facebook, il suffit que quelqu'un soit prêt à creuser assez profondément.
Lorsque vous avez réalisé l'ampleur du Ticket Trick, quelle a été votre première réaction ?
Mes sentiments étaient partagés. J'ai été stupéfait et j'ai immédiatement pensé aux primes de bogues que je pourrais collecter avec cela, mais d'un autre côté, j'ai été choqué que cela soit possible. Chaque fois que vous trouvez quelque chose comme cela, vous possédez soudain un grand nombre d'informations précieuses qui pourraient intéresser des parties malveillantes. Le processus de divulgation est difficile : vous devez informer le plus grand nombre possible d'entreprises concernées, mais d'un autre côté, vous devez vous assurer que les informations ne font pas l'objet d'une fuite ou d'une utilisation abusive.
Pourquoi avez-vous décidé de divulguer ces informations avant de collecter d'autres primes ?
Il est plus important de faire ce qui est juste que de collecter des primes. Je pense que j'ai eu ma part du gâteau et je veux maintenant rendre à la communauté ce qu'elle m'a donné. En outre, j'ai informé les entreprises de ce problème pendant des mois, de sorte que de plus en plus de gens sont au courant. Je ne voulais pas qu'il y ait des fuites ou des abus de la part de personnes mal intentionnées.
Que pensez-vous des réponses des entreprises concernées ?
La plupart des réponses ont été satisfaisantes. Certaines entreprises ne s'en souciaient pas vraiment, mais en fin de compte, c'est leur perte. Être rejeté en tant que chercheur en sécurité fait partie du jeu. Au moins, je n'ai pas été poursuivi en justice. Il y a 10 ans, cela aurait probablement été le cas.
Une dernière question, sur reddit j'ai lu que vous avez réclamé 8000$ en bug bounties, avez-vous des plans sympas pour dépenser cet argent ?
Au total, ce bug m'a rapporté plus de 20 000 dollars. Plus de la moitié de cette somme est consacrée aux impôts. Je dépense le reste pour des choses normales comme des voyages, des sorties au restaurant, ... rien d'extraordinaire :-)
Merci beaucoup pour votre temps et bonne chance pour la chasse à l'avenir !
Le bogue existe toujours. Il ne peut pas être corrigé immédiatement. Au cours des derniers mois, j'ai contacté des dizaines d'entreprises et de fournisseurs concernés dans le cadre de leurs programmes de primes à la détection de bogues afin que leur installation soit corrigée.

Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Voir le rapportRéservez une démonstrationChercheur en sécurité applicative - Ingénieur R&D - Doctorant
Au début de ce mois, le chasseur de bugs belge, Inti De Ceukelaire a révélé un piratage créatif qui affecte des centaines d'entreprises. L'astuce consiste à exploiter une logique commerciale dans les services d'assistance et les systèmes de suivi des problèmes les plus répandus pour accéder aux intranets, aux comptes de médias sociaux ou, le plus souvent, aux équipes Yammer et Slack. Vous pouvez lire les détails sur le blog d sur le blog d'Inti. J'ai été impressionné par la créativité nécessaire pour mettre au point cet exploit et curieux de connaître le processus impliqué, j'ai donc décidé de poser quelques questions à Inti, et je partage ses réponses avec vous.
Bonjour Inti, pouvez-vous vous présenter brièvement à nos lecteurs ?
Je suis Inti, chasseur de bugs chez Intigriti et Hackerone. Je vis à Alost (Belgique) et je passe mes journées à casser des trucs.
La semaine dernière, j'ai lu votre article de blog sur ce que vous avez appelé depuis "Ticket Trick" et j'ai été impressionné par la créativité dont vous avez fait preuve pour trouver cet exploit. Comment vous est venue l'idée d'essayer cette astuce ?
Je participe à des programmes de primes aux bugs, ce qui signifie que certains sites web offrent de l'argent aux chercheurs en sécurité responsables qui découvrent des vulnérabilités uniques. Comme il y a beaucoup de concurrence, vous devez continuer à chercher des choses que d'autres n'ont pas encore trouvées. J'ai pensé que Slack était un vecteur d'attaque intéressant parce qu'il contient souvent des informations sensibles et qu'il suffit parfois d'une adresse électronique valide de l'entreprise. J'ai donc pris une bière, je me suis allongé sur le canapé et j'ai commencé à réfléchir à tous les vecteurs d'attaque possibles. Soudain, j'ai eu une idée folle, qui s'est avérée efficace. En général, j'essaie tout ce qui me passe par la tête. Même si cela ne fonctionne que quelques fois, c'est payant ;-)
En tant que personne travaillant habituellement du côté opposé, essayant de sécuriser le code, je me demande souvent à quoi ressemble une session de pentesting. Où travaillez-vous ? Est-ce quelque chose que vous faites également pendant votre temps libre depuis votre canapé ? Ou travaillez-vous dans un bureau ?
Pendant la journée, je travaille comme codeur créatif numérique dans une station de radio appelée Studio Brussel. Cela implique un peu de programmation et un peu de médias sociaux, mais pas de sécurité. J'essaie de ne pas mélanger mon hobby avec mon travail professionnel. J'ai peur de perdre ma créativité si je le fais. Je ne pirate pas très souvent : au maximum quelques heures par semaine. Je peux le faire à la table, sur le canapé ou sur mon lit - ce qui me convient le mieux à ce moment-là.
Comment commencez-vous ? Disposez-vous d'une antisèche ? Disposez-vous de quelques données pour vérifier si la validation des entrées ou l'échappement des sorties sont suffisants ?
Je suis très chaotique, donc je n'ai pas vraiment de liste de contrôle, je me fie à mon intuition. La plupart du temps, je commence par ce que l'on appelle la reconnaissance : je répertorie toutes les informations intéressantes sur la cible, les sous-domaines, les adresses IP, tout ce que je peux trouver. J'essaie d'avoir une vue d'ensemble et de comprendre la logique de l'entreprise avant même de commencer à pirater. Si vous ne recherchez que les vulnérabilités classiques, vous passerez à côté des failles les plus intelligentes et les plus complexes. En ce qui concerne les données d'entrée, j'essaie de couvrir le plus grand nombre possible de vulnérabilités dans une seule charge utile. Chaque fois que je découvre quelque chose d'intéressant, je joue avec pendant un certain temps et j'y jette un tas d'absurdités, juste pour voir comment le système y réagit. Les meilleurs bugs se trouvent souvent dans les parties les plus éloignées d'une application web, c'est pourquoi j'essaie de creuser aussi profondément que possible.
Selon vous, qu'est-ce qui fait un bon pentester ? Avez-vous des astuces à nous faire partager ?
Je ne suis pas un pentester et je ne peux donc pas vraiment parler pour les pentesters en général, mais je pense que la motivation et la persévérance sont les atouts les plus importants. La plupart des gens n'envisagent même pas de chercher des failles de sécurité chez Google, qui dispose des meilleurs ingénieurs du monde, et qui paie pourtant des millions de primes aux bugs chaque année. Je travaille sur une cible depuis plus de deux ans et je commence maintenant à trouver les bogues les plus intéressants. Cela prend du temps. Le problème avec le pentesting normal est que les testeurs sont récompensés par un montant fixe, qu'ils trouvent des vulnérabilités critiques ou non. Je pense qu'il y a encore beaucoup de bogues dans Facebook, il suffit que quelqu'un soit prêt à creuser assez profondément.
Lorsque vous avez réalisé l'ampleur du Ticket Trick, quelle a été votre première réaction ?
Mes sentiments étaient partagés. J'ai été stupéfait et j'ai immédiatement pensé aux primes de bogues que je pourrais collecter avec cela, mais d'un autre côté, j'ai été choqué que cela soit possible. Chaque fois que vous trouvez quelque chose comme cela, vous possédez soudain un grand nombre d'informations précieuses qui pourraient intéresser des parties malveillantes. Le processus de divulgation est difficile : vous devez informer le plus grand nombre possible d'entreprises concernées, mais d'un autre côté, vous devez vous assurer que les informations ne font pas l'objet d'une fuite ou d'une utilisation abusive.
Pourquoi avez-vous décidé de divulguer ces informations avant de collecter d'autres primes ?
Il est plus important de faire ce qui est juste que de collecter des primes. Je pense que j'ai eu ma part du gâteau et je veux maintenant rendre à la communauté ce qu'elle m'a donné. En outre, j'ai informé les entreprises de ce problème pendant des mois, de sorte que de plus en plus de gens sont au courant. Je ne voulais pas qu'il y ait des fuites ou des abus de la part de personnes mal intentionnées.
Que pensez-vous des réponses des entreprises concernées ?
La plupart des réponses ont été satisfaisantes. Certaines entreprises ne s'en souciaient pas vraiment, mais en fin de compte, c'est leur perte. Être rejeté en tant que chercheur en sécurité fait partie du jeu. Au moins, je n'ai pas été poursuivi en justice. Il y a 10 ans, cela aurait probablement été le cas.
Une dernière question, sur reddit j'ai lu que vous avez réclamé 8000$ en bug bounties, avez-vous des plans sympas pour dépenser cet argent ?
Au total, ce bug m'a rapporté plus de 20 000 dollars. Plus de la moitié de cette somme est consacrée aux impôts. Je dépense le reste pour des choses normales comme des voyages, des sorties au restaurant, ... rien d'extraordinaire :-)
Merci beaucoup pour votre temps et bonne chance pour la chasse à l'avenir !
Le bogue existe toujours. Il ne peut pas être corrigé immédiatement. Au cours des derniers mois, j'ai contacté des dizaines d'entreprises et de fournisseurs concernés dans le cadre de leurs programmes de primes à la détection de bogues afin que leur installation soit corrigée.
Table des matières
Chercheur en sécurité applicative - Ingénieur R&D - Doctorant

Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationTéléchargerRessources pour vous aider à démarrer
Services professionnels - Accélérer grâce à l'expertise
L'équipe des services de stratégie de programme (PSS) de Secure Code Warriorvous aide à construire, améliorer et optimiser votre programme de codage sécurisé. Que vous partiez de zéro ou que vous affiniez votre approche, nos experts vous fournissent des conseils sur mesure.
Thèmes et contenu de la formation sur le code sécurisé
Notre contenu, à la pointe de l'industrie, évolue constamment pour s'adapter au paysage du développement logiciel en constante évolution, tout en gardant votre rôle à l'esprit. Les sujets abordés vont de l'IA à l'injection XQuery, et sont proposés pour une variété de rôles, des architectes et ingénieurs aux gestionnaires de produits et à l'assurance qualité. Découvrez en avant-première ce que notre catalogue de contenu a à offrir par sujet et par rôle.
Quêtes : Apprentissage de pointe pour permettre aux développeurs de garder une longueur d'avance et d'atténuer les risques.
Quests est une learning platform qui aide les développeurs à atténuer les risques liés à la sécurité des logiciels en améliorant leurs compétences en matière de codage sécurisé. Grâce à des parcours d'apprentissage, des défis pratiques et des activités interactives, elle permet aux développeurs d'identifier et de prévenir les vulnérabilités.
Ressources pour vous aider à démarrer
La décennie des défenseurs : Secure Code Warrior Dixième anniversaire
Secure Code WarriorL'équipe fondatrice de SCW est restée soudée, dirigeant le navire à travers chaque leçon, chaque triomphe et chaque revers pendant une décennie entière. Nous nous développons et sommes prêts à affronter notre prochain chapitre, SCW 2.0, en tant que leaders de la gestion des risques pour les développeurs.
10 prédictions clés : Secure Code Warrior sur l'influence de l'IA et de la conception sécurisée en 2025
Les organisations sont confrontées à des décisions difficiles sur l'utilisation de l'IA pour soutenir la productivité à long terme, la durabilité et le retour sur investissement de la sécurité. Au cours des dernières années, il nous est apparu clairement que l'IA ne remplacera jamais complètement le rôle du développeur. Des partenariats IA + développeurs aux pressions croissantes (et à la confusion) autour des attentes en matière de conception sécurisée, examinons de plus près ce à quoi nous pouvons nous attendre au cours de l'année prochaine.