Bonjour de l'autre côté. Entretien avec un chasseur de primes aux insectes.
Au début de ce mois, le chasseur de bugs belge, Inti De Ceukelaire a révélé un piratage créatif qui affecte des centaines d'entreprises. L'astuce consiste à exploiter une logique commerciale dans les services d'assistance et les systèmes de suivi des problèmes les plus répandus pour accéder aux intranets, aux comptes de médias sociaux ou, le plus souvent, aux équipes Yammer et Slack. Vous pouvez lire les détails sur le blog d sur le blog d'Inti. J'ai été impressionné par la créativité nécessaire pour mettre au point cet exploit et curieux de connaître le processus impliqué, j'ai donc décidé de poser quelques questions à Inti, et je partage ses réponses avec vous.
Bonjour Inti, pouvez-vous vous présenter brièvement à nos lecteurs ?
Je suis Inti, chasseur de bugs chez Intigriti et Hackerone. Je vis à Alost (Belgique) et je passe mes journées à casser des trucs.
La semaine dernière, j'ai lu votre article de blog sur ce que vous avez appelé depuis "Ticket Trick" et j'ai été impressionné par la créativité dont vous avez fait preuve pour trouver cet exploit. Comment vous est venue l'idée d'essayer cette astuce ?
Je participe à des programmes de primes aux bugs, ce qui signifie que certains sites web offrent de l'argent aux chercheurs en sécurité responsables qui découvrent des vulnérabilités uniques. Comme il y a beaucoup de concurrence, vous devez continuer à chercher des choses que d'autres n'ont pas encore trouvées. J'ai pensé que Slack était un vecteur d'attaque intéressant parce qu'il contient souvent des informations sensibles et qu'il suffit parfois d'une adresse électronique valide de l'entreprise. J'ai donc pris une bière, je me suis allongé sur le canapé et j'ai commencé à réfléchir à tous les vecteurs d'attaque possibles. Soudain, j'ai eu une idée folle, qui s'est avérée efficace. En général, j'essaie tout ce qui me passe par la tête. Même si cela ne fonctionne que quelques fois, c'est payant ;-)
En tant que personne travaillant habituellement du côté opposé, essayant de sécuriser le code, je me demande souvent à quoi ressemble une session de pentesting. Où travaillez-vous ? Est-ce quelque chose que vous faites également pendant votre temps libre depuis votre canapé ? Ou travaillez-vous dans un bureau ?
Pendant la journée, je travaille comme codeur créatif numérique dans une station de radio appelée Studio Brussel. Cela implique un peu de programmation et un peu de médias sociaux, mais pas de sécurité. J'essaie de ne pas mélanger mon hobby avec mon travail professionnel. J'ai peur de perdre ma créativité si je le fais. Je ne pirate pas très souvent : au maximum quelques heures par semaine. Je peux le faire à la table, sur le canapé ou sur mon lit - ce qui me convient le mieux à ce moment-là.
Comment commencez-vous ? Disposez-vous d'une antisèche ? Disposez-vous de quelques données pour vérifier si la validation des entrées ou l'échappement des sorties sont suffisants ?
Je suis très chaotique, donc je n'ai pas vraiment de liste de contrôle, je me fie à mon intuition. La plupart du temps, je commence par ce que l'on appelle la reconnaissance : je répertorie toutes les informations intéressantes sur la cible, les sous-domaines, les adresses IP, tout ce que je peux trouver. J'essaie d'avoir une vue d'ensemble et de comprendre la logique de l'entreprise avant même de commencer à pirater. Si vous ne recherchez que les vulnérabilités classiques, vous passerez à côté des failles les plus intelligentes et les plus complexes. En ce qui concerne les données d'entrée, j'essaie de couvrir le plus grand nombre possible de vulnérabilités dans une seule charge utile. Chaque fois que je découvre quelque chose d'intéressant, je joue avec pendant un certain temps et j'y jette un tas d'absurdités, juste pour voir comment le système y réagit. Les meilleurs bugs se trouvent souvent dans les parties les plus éloignées d'une application web, c'est pourquoi j'essaie de creuser aussi profondément que possible.
Selon vous, qu'est-ce qui fait un bon pentester ? Avez-vous des astuces à nous faire partager ?
Je ne suis pas un pentester et je ne peux donc pas vraiment parler pour les pentesters en général, mais je pense que la motivation et la persévérance sont les atouts les plus importants. La plupart des gens n'envisagent même pas de chercher des failles de sécurité chez Google, qui dispose des meilleurs ingénieurs du monde, et qui paie pourtant des millions de primes aux bugs chaque année. Je travaille sur une cible depuis plus de deux ans et je commence maintenant à trouver les bogues les plus intéressants. Cela prend du temps. Le problème avec le pentesting normal est que les testeurs sont récompensés par un montant fixe, qu'ils trouvent des vulnérabilités critiques ou non. Je pense qu'il y a encore beaucoup de bogues dans Facebook, il suffit que quelqu'un soit prêt à creuser assez profondément.
Lorsque vous avez réalisé l'ampleur du Ticket Trick, quelle a été votre première réaction ?
Mes sentiments étaient partagés. J'ai été stupéfait et j'ai immédiatement pensé aux primes de bogues que je pourrais collecter avec cela, mais d'un autre côté, j'ai été choqué que cela soit possible. Chaque fois que vous trouvez quelque chose comme cela, vous possédez soudain un grand nombre d'informations précieuses qui pourraient intéresser des parties malveillantes. Le processus de divulgation est difficile : vous devez informer le plus grand nombre possible d'entreprises concernées, mais d'un autre côté, vous devez vous assurer que les informations ne font pas l'objet d'une fuite ou d'une utilisation abusive.
Pourquoi avez-vous décidé de divulguer ces informations avant de collecter d'autres primes ?
Il est plus important de faire ce qui est juste que de collecter des primes. Je pense que j'ai eu ma part du gâteau et je veux maintenant rendre à la communauté ce qu'elle m'a donné. En outre, j'ai informé les entreprises de ce problème pendant des mois, de sorte que de plus en plus de gens sont au courant. Je ne voulais pas qu'il y ait des fuites ou des abus de la part de personnes mal intentionnées.
Que pensez-vous des réponses des entreprises concernées ?
La plupart des réponses ont été satisfaisantes. Certaines entreprises ne s'en souciaient pas vraiment, mais en fin de compte, c'est leur perte. Être rejeté en tant que chercheur en sécurité fait partie du jeu. Au moins, je n'ai pas été poursuivi en justice. Il y a 10 ans, cela aurait probablement été le cas.
Une dernière question, sur reddit j'ai lu que vous avez réclamé 8000$ en bug bounties, avez-vous des plans sympas pour dépenser cet argent ?
Au total, ce bug m'a rapporté plus de 20 000 dollars. Plus de la moitié de cette somme est consacrée aux impôts. Je dépense le reste pour des choses normales comme des voyages, des sorties au restaurant, ... rien d'extraordinaire :-)
Merci beaucoup pour votre temps et bonne chance pour la chasse à l'avenir !
Le bogue existe toujours. Il ne peut pas être corrigé immédiatement. Au cours des derniers mois, j'ai contacté des dizaines d'entreprises et de fournisseurs concernés dans le cadre de leurs programmes de primes à la détection de bogues afin que leur installation soit corrigée.
Le bogue existe toujours. Il ne peut pas être corrigé immédiatement. Au cours des derniers mois, j'ai contacté des dizaines d'entreprises et de fournisseurs concernés dans le cadre de leurs programmes de primes à la détection de bogues afin que leur installation soit corrigée.
Chercheur en sécurité applicative - Ingénieur R&D - Doctorant
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationChercheur en sécurité applicative - Ingénieur R&D - Doctorant
Au début de ce mois, le chasseur de bugs belge, Inti De Ceukelaire a révélé un piratage créatif qui affecte des centaines d'entreprises. L'astuce consiste à exploiter une logique commerciale dans les services d'assistance et les systèmes de suivi des problèmes les plus répandus pour accéder aux intranets, aux comptes de médias sociaux ou, le plus souvent, aux équipes Yammer et Slack. Vous pouvez lire les détails sur le blog d sur le blog d'Inti. J'ai été impressionné par la créativité nécessaire pour mettre au point cet exploit et curieux de connaître le processus impliqué, j'ai donc décidé de poser quelques questions à Inti, et je partage ses réponses avec vous.
Bonjour Inti, pouvez-vous vous présenter brièvement à nos lecteurs ?
Je suis Inti, chasseur de bugs chez Intigriti et Hackerone. Je vis à Alost (Belgique) et je passe mes journées à casser des trucs.
La semaine dernière, j'ai lu votre article de blog sur ce que vous avez appelé depuis "Ticket Trick" et j'ai été impressionné par la créativité dont vous avez fait preuve pour trouver cet exploit. Comment vous est venue l'idée d'essayer cette astuce ?
Je participe à des programmes de primes aux bugs, ce qui signifie que certains sites web offrent de l'argent aux chercheurs en sécurité responsables qui découvrent des vulnérabilités uniques. Comme il y a beaucoup de concurrence, vous devez continuer à chercher des choses que d'autres n'ont pas encore trouvées. J'ai pensé que Slack était un vecteur d'attaque intéressant parce qu'il contient souvent des informations sensibles et qu'il suffit parfois d'une adresse électronique valide de l'entreprise. J'ai donc pris une bière, je me suis allongé sur le canapé et j'ai commencé à réfléchir à tous les vecteurs d'attaque possibles. Soudain, j'ai eu une idée folle, qui s'est avérée efficace. En général, j'essaie tout ce qui me passe par la tête. Même si cela ne fonctionne que quelques fois, c'est payant ;-)
En tant que personne travaillant habituellement du côté opposé, essayant de sécuriser le code, je me demande souvent à quoi ressemble une session de pentesting. Où travaillez-vous ? Est-ce quelque chose que vous faites également pendant votre temps libre depuis votre canapé ? Ou travaillez-vous dans un bureau ?
Pendant la journée, je travaille comme codeur créatif numérique dans une station de radio appelée Studio Brussel. Cela implique un peu de programmation et un peu de médias sociaux, mais pas de sécurité. J'essaie de ne pas mélanger mon hobby avec mon travail professionnel. J'ai peur de perdre ma créativité si je le fais. Je ne pirate pas très souvent : au maximum quelques heures par semaine. Je peux le faire à la table, sur le canapé ou sur mon lit - ce qui me convient le mieux à ce moment-là.
Comment commencez-vous ? Disposez-vous d'une antisèche ? Disposez-vous de quelques données pour vérifier si la validation des entrées ou l'échappement des sorties sont suffisants ?
Je suis très chaotique, donc je n'ai pas vraiment de liste de contrôle, je me fie à mon intuition. La plupart du temps, je commence par ce que l'on appelle la reconnaissance : je répertorie toutes les informations intéressantes sur la cible, les sous-domaines, les adresses IP, tout ce que je peux trouver. J'essaie d'avoir une vue d'ensemble et de comprendre la logique de l'entreprise avant même de commencer à pirater. Si vous ne recherchez que les vulnérabilités classiques, vous passerez à côté des failles les plus intelligentes et les plus complexes. En ce qui concerne les données d'entrée, j'essaie de couvrir le plus grand nombre possible de vulnérabilités dans une seule charge utile. Chaque fois que je découvre quelque chose d'intéressant, je joue avec pendant un certain temps et j'y jette un tas d'absurdités, juste pour voir comment le système y réagit. Les meilleurs bugs se trouvent souvent dans les parties les plus éloignées d'une application web, c'est pourquoi j'essaie de creuser aussi profondément que possible.
Selon vous, qu'est-ce qui fait un bon pentester ? Avez-vous des astuces à nous faire partager ?
Je ne suis pas un pentester et je ne peux donc pas vraiment parler pour les pentesters en général, mais je pense que la motivation et la persévérance sont les atouts les plus importants. La plupart des gens n'envisagent même pas de chercher des failles de sécurité chez Google, qui dispose des meilleurs ingénieurs du monde, et qui paie pourtant des millions de primes aux bugs chaque année. Je travaille sur une cible depuis plus de deux ans et je commence maintenant à trouver les bogues les plus intéressants. Cela prend du temps. Le problème avec le pentesting normal est que les testeurs sont récompensés par un montant fixe, qu'ils trouvent des vulnérabilités critiques ou non. Je pense qu'il y a encore beaucoup de bogues dans Facebook, il suffit que quelqu'un soit prêt à creuser assez profondément.
Lorsque vous avez réalisé l'ampleur du Ticket Trick, quelle a été votre première réaction ?
Mes sentiments étaient partagés. J'ai été stupéfait et j'ai immédiatement pensé aux primes de bogues que je pourrais collecter avec cela, mais d'un autre côté, j'ai été choqué que cela soit possible. Chaque fois que vous trouvez quelque chose comme cela, vous possédez soudain un grand nombre d'informations précieuses qui pourraient intéresser des parties malveillantes. Le processus de divulgation est difficile : vous devez informer le plus grand nombre possible d'entreprises concernées, mais d'un autre côté, vous devez vous assurer que les informations ne font pas l'objet d'une fuite ou d'une utilisation abusive.
Pourquoi avez-vous décidé de divulguer ces informations avant de collecter d'autres primes ?
Il est plus important de faire ce qui est juste que de collecter des primes. Je pense que j'ai eu ma part du gâteau et je veux maintenant rendre à la communauté ce qu'elle m'a donné. En outre, j'ai informé les entreprises de ce problème pendant des mois, de sorte que de plus en plus de gens sont au courant. Je ne voulais pas qu'il y ait des fuites ou des abus de la part de personnes mal intentionnées.
Que pensez-vous des réponses des entreprises concernées ?
La plupart des réponses ont été satisfaisantes. Certaines entreprises ne s'en souciaient pas vraiment, mais en fin de compte, c'est leur perte. Être rejeté en tant que chercheur en sécurité fait partie du jeu. Au moins, je n'ai pas été poursuivi en justice. Il y a 10 ans, cela aurait probablement été le cas.
Une dernière question, sur reddit j'ai lu que vous avez réclamé 8000$ en bug bounties, avez-vous des plans sympas pour dépenser cet argent ?
Au total, ce bug m'a rapporté plus de 20 000 dollars. Plus de la moitié de cette somme est consacrée aux impôts. Je dépense le reste pour des choses normales comme des voyages, des sorties au restaurant, ... rien d'extraordinaire :-)
Merci beaucoup pour votre temps et bonne chance pour la chasse à l'avenir !
Le bogue existe toujours. Il ne peut pas être corrigé immédiatement. Au cours des derniers mois, j'ai contacté des dizaines d'entreprises et de fournisseurs concernés dans le cadre de leurs programmes de primes à la détection de bogues afin que leur installation soit corrigée.
Au début de ce mois, le chasseur de bugs belge, Inti De Ceukelaire a révélé un piratage créatif qui affecte des centaines d'entreprises. L'astuce consiste à exploiter une logique commerciale dans les services d'assistance et les systèmes de suivi des problèmes les plus répandus pour accéder aux intranets, aux comptes de médias sociaux ou, le plus souvent, aux équipes Yammer et Slack. Vous pouvez lire les détails sur le blog d sur le blog d'Inti. J'ai été impressionné par la créativité nécessaire pour mettre au point cet exploit et curieux de connaître le processus impliqué, j'ai donc décidé de poser quelques questions à Inti, et je partage ses réponses avec vous.
Bonjour Inti, pouvez-vous vous présenter brièvement à nos lecteurs ?
Je suis Inti, chasseur de bugs chez Intigriti et Hackerone. Je vis à Alost (Belgique) et je passe mes journées à casser des trucs.
La semaine dernière, j'ai lu votre article de blog sur ce que vous avez appelé depuis "Ticket Trick" et j'ai été impressionné par la créativité dont vous avez fait preuve pour trouver cet exploit. Comment vous est venue l'idée d'essayer cette astuce ?
Je participe à des programmes de primes aux bugs, ce qui signifie que certains sites web offrent de l'argent aux chercheurs en sécurité responsables qui découvrent des vulnérabilités uniques. Comme il y a beaucoup de concurrence, vous devez continuer à chercher des choses que d'autres n'ont pas encore trouvées. J'ai pensé que Slack était un vecteur d'attaque intéressant parce qu'il contient souvent des informations sensibles et qu'il suffit parfois d'une adresse électronique valide de l'entreprise. J'ai donc pris une bière, je me suis allongé sur le canapé et j'ai commencé à réfléchir à tous les vecteurs d'attaque possibles. Soudain, j'ai eu une idée folle, qui s'est avérée efficace. En général, j'essaie tout ce qui me passe par la tête. Même si cela ne fonctionne que quelques fois, c'est payant ;-)
En tant que personne travaillant habituellement du côté opposé, essayant de sécuriser le code, je me demande souvent à quoi ressemble une session de pentesting. Où travaillez-vous ? Est-ce quelque chose que vous faites également pendant votre temps libre depuis votre canapé ? Ou travaillez-vous dans un bureau ?
Pendant la journée, je travaille comme codeur créatif numérique dans une station de radio appelée Studio Brussel. Cela implique un peu de programmation et un peu de médias sociaux, mais pas de sécurité. J'essaie de ne pas mélanger mon hobby avec mon travail professionnel. J'ai peur de perdre ma créativité si je le fais. Je ne pirate pas très souvent : au maximum quelques heures par semaine. Je peux le faire à la table, sur le canapé ou sur mon lit - ce qui me convient le mieux à ce moment-là.
Comment commencez-vous ? Disposez-vous d'une antisèche ? Disposez-vous de quelques données pour vérifier si la validation des entrées ou l'échappement des sorties sont suffisants ?
Je suis très chaotique, donc je n'ai pas vraiment de liste de contrôle, je me fie à mon intuition. La plupart du temps, je commence par ce que l'on appelle la reconnaissance : je répertorie toutes les informations intéressantes sur la cible, les sous-domaines, les adresses IP, tout ce que je peux trouver. J'essaie d'avoir une vue d'ensemble et de comprendre la logique de l'entreprise avant même de commencer à pirater. Si vous ne recherchez que les vulnérabilités classiques, vous passerez à côté des failles les plus intelligentes et les plus complexes. En ce qui concerne les données d'entrée, j'essaie de couvrir le plus grand nombre possible de vulnérabilités dans une seule charge utile. Chaque fois que je découvre quelque chose d'intéressant, je joue avec pendant un certain temps et j'y jette un tas d'absurdités, juste pour voir comment le système y réagit. Les meilleurs bugs se trouvent souvent dans les parties les plus éloignées d'une application web, c'est pourquoi j'essaie de creuser aussi profondément que possible.
Selon vous, qu'est-ce qui fait un bon pentester ? Avez-vous des astuces à nous faire partager ?
Je ne suis pas un pentester et je ne peux donc pas vraiment parler pour les pentesters en général, mais je pense que la motivation et la persévérance sont les atouts les plus importants. La plupart des gens n'envisagent même pas de chercher des failles de sécurité chez Google, qui dispose des meilleurs ingénieurs du monde, et qui paie pourtant des millions de primes aux bugs chaque année. Je travaille sur une cible depuis plus de deux ans et je commence maintenant à trouver les bogues les plus intéressants. Cela prend du temps. Le problème avec le pentesting normal est que les testeurs sont récompensés par un montant fixe, qu'ils trouvent des vulnérabilités critiques ou non. Je pense qu'il y a encore beaucoup de bogues dans Facebook, il suffit que quelqu'un soit prêt à creuser assez profondément.
Lorsque vous avez réalisé l'ampleur du Ticket Trick, quelle a été votre première réaction ?
Mes sentiments étaient partagés. J'ai été stupéfait et j'ai immédiatement pensé aux primes de bogues que je pourrais collecter avec cela, mais d'un autre côté, j'ai été choqué que cela soit possible. Chaque fois que vous trouvez quelque chose comme cela, vous possédez soudain un grand nombre d'informations précieuses qui pourraient intéresser des parties malveillantes. Le processus de divulgation est difficile : vous devez informer le plus grand nombre possible d'entreprises concernées, mais d'un autre côté, vous devez vous assurer que les informations ne font pas l'objet d'une fuite ou d'une utilisation abusive.
Pourquoi avez-vous décidé de divulguer ces informations avant de collecter d'autres primes ?
Il est plus important de faire ce qui est juste que de collecter des primes. Je pense que j'ai eu ma part du gâteau et je veux maintenant rendre à la communauté ce qu'elle m'a donné. En outre, j'ai informé les entreprises de ce problème pendant des mois, de sorte que de plus en plus de gens sont au courant. Je ne voulais pas qu'il y ait des fuites ou des abus de la part de personnes mal intentionnées.
Que pensez-vous des réponses des entreprises concernées ?
La plupart des réponses ont été satisfaisantes. Certaines entreprises ne s'en souciaient pas vraiment, mais en fin de compte, c'est leur perte. Être rejeté en tant que chercheur en sécurité fait partie du jeu. Au moins, je n'ai pas été poursuivi en justice. Il y a 10 ans, cela aurait probablement été le cas.
Une dernière question, sur reddit j'ai lu que vous avez réclamé 8000$ en bug bounties, avez-vous des plans sympas pour dépenser cet argent ?
Au total, ce bug m'a rapporté plus de 20 000 dollars. Plus de la moitié de cette somme est consacrée aux impôts. Je dépense le reste pour des choses normales comme des voyages, des sorties au restaurant, ... rien d'extraordinaire :-)
Merci beaucoup pour votre temps et bonne chance pour la chasse à l'avenir !
Le bogue existe toujours. Il ne peut pas être corrigé immédiatement. Au cours des derniers mois, j'ai contacté des dizaines d'entreprises et de fournisseurs concernés dans le cadre de leurs programmes de primes à la détection de bogues afin que leur installation soit corrigée.
Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Voir le rapportRéservez une démonstrationChercheur en sécurité applicative - Ingénieur R&D - Doctorant
Au début de ce mois, le chasseur de bugs belge, Inti De Ceukelaire a révélé un piratage créatif qui affecte des centaines d'entreprises. L'astuce consiste à exploiter une logique commerciale dans les services d'assistance et les systèmes de suivi des problèmes les plus répandus pour accéder aux intranets, aux comptes de médias sociaux ou, le plus souvent, aux équipes Yammer et Slack. Vous pouvez lire les détails sur le blog d sur le blog d'Inti. J'ai été impressionné par la créativité nécessaire pour mettre au point cet exploit et curieux de connaître le processus impliqué, j'ai donc décidé de poser quelques questions à Inti, et je partage ses réponses avec vous.
Bonjour Inti, pouvez-vous vous présenter brièvement à nos lecteurs ?
Je suis Inti, chasseur de bugs chez Intigriti et Hackerone. Je vis à Alost (Belgique) et je passe mes journées à casser des trucs.
La semaine dernière, j'ai lu votre article de blog sur ce que vous avez appelé depuis "Ticket Trick" et j'ai été impressionné par la créativité dont vous avez fait preuve pour trouver cet exploit. Comment vous est venue l'idée d'essayer cette astuce ?
Je participe à des programmes de primes aux bugs, ce qui signifie que certains sites web offrent de l'argent aux chercheurs en sécurité responsables qui découvrent des vulnérabilités uniques. Comme il y a beaucoup de concurrence, vous devez continuer à chercher des choses que d'autres n'ont pas encore trouvées. J'ai pensé que Slack était un vecteur d'attaque intéressant parce qu'il contient souvent des informations sensibles et qu'il suffit parfois d'une adresse électronique valide de l'entreprise. J'ai donc pris une bière, je me suis allongé sur le canapé et j'ai commencé à réfléchir à tous les vecteurs d'attaque possibles. Soudain, j'ai eu une idée folle, qui s'est avérée efficace. En général, j'essaie tout ce qui me passe par la tête. Même si cela ne fonctionne que quelques fois, c'est payant ;-)
En tant que personne travaillant habituellement du côté opposé, essayant de sécuriser le code, je me demande souvent à quoi ressemble une session de pentesting. Où travaillez-vous ? Est-ce quelque chose que vous faites également pendant votre temps libre depuis votre canapé ? Ou travaillez-vous dans un bureau ?
Pendant la journée, je travaille comme codeur créatif numérique dans une station de radio appelée Studio Brussel. Cela implique un peu de programmation et un peu de médias sociaux, mais pas de sécurité. J'essaie de ne pas mélanger mon hobby avec mon travail professionnel. J'ai peur de perdre ma créativité si je le fais. Je ne pirate pas très souvent : au maximum quelques heures par semaine. Je peux le faire à la table, sur le canapé ou sur mon lit - ce qui me convient le mieux à ce moment-là.
Comment commencez-vous ? Disposez-vous d'une antisèche ? Disposez-vous de quelques données pour vérifier si la validation des entrées ou l'échappement des sorties sont suffisants ?
Je suis très chaotique, donc je n'ai pas vraiment de liste de contrôle, je me fie à mon intuition. La plupart du temps, je commence par ce que l'on appelle la reconnaissance : je répertorie toutes les informations intéressantes sur la cible, les sous-domaines, les adresses IP, tout ce que je peux trouver. J'essaie d'avoir une vue d'ensemble et de comprendre la logique de l'entreprise avant même de commencer à pirater. Si vous ne recherchez que les vulnérabilités classiques, vous passerez à côté des failles les plus intelligentes et les plus complexes. En ce qui concerne les données d'entrée, j'essaie de couvrir le plus grand nombre possible de vulnérabilités dans une seule charge utile. Chaque fois que je découvre quelque chose d'intéressant, je joue avec pendant un certain temps et j'y jette un tas d'absurdités, juste pour voir comment le système y réagit. Les meilleurs bugs se trouvent souvent dans les parties les plus éloignées d'une application web, c'est pourquoi j'essaie de creuser aussi profondément que possible.
Selon vous, qu'est-ce qui fait un bon pentester ? Avez-vous des astuces à nous faire partager ?
Je ne suis pas un pentester et je ne peux donc pas vraiment parler pour les pentesters en général, mais je pense que la motivation et la persévérance sont les atouts les plus importants. La plupart des gens n'envisagent même pas de chercher des failles de sécurité chez Google, qui dispose des meilleurs ingénieurs du monde, et qui paie pourtant des millions de primes aux bugs chaque année. Je travaille sur une cible depuis plus de deux ans et je commence maintenant à trouver les bogues les plus intéressants. Cela prend du temps. Le problème avec le pentesting normal est que les testeurs sont récompensés par un montant fixe, qu'ils trouvent des vulnérabilités critiques ou non. Je pense qu'il y a encore beaucoup de bogues dans Facebook, il suffit que quelqu'un soit prêt à creuser assez profondément.
Lorsque vous avez réalisé l'ampleur du Ticket Trick, quelle a été votre première réaction ?
Mes sentiments étaient partagés. J'ai été stupéfait et j'ai immédiatement pensé aux primes de bogues que je pourrais collecter avec cela, mais d'un autre côté, j'ai été choqué que cela soit possible. Chaque fois que vous trouvez quelque chose comme cela, vous possédez soudain un grand nombre d'informations précieuses qui pourraient intéresser des parties malveillantes. Le processus de divulgation est difficile : vous devez informer le plus grand nombre possible d'entreprises concernées, mais d'un autre côté, vous devez vous assurer que les informations ne font pas l'objet d'une fuite ou d'une utilisation abusive.
Pourquoi avez-vous décidé de divulguer ces informations avant de collecter d'autres primes ?
Il est plus important de faire ce qui est juste que de collecter des primes. Je pense que j'ai eu ma part du gâteau et je veux maintenant rendre à la communauté ce qu'elle m'a donné. En outre, j'ai informé les entreprises de ce problème pendant des mois, de sorte que de plus en plus de gens sont au courant. Je ne voulais pas qu'il y ait des fuites ou des abus de la part de personnes mal intentionnées.
Que pensez-vous des réponses des entreprises concernées ?
La plupart des réponses ont été satisfaisantes. Certaines entreprises ne s'en souciaient pas vraiment, mais en fin de compte, c'est leur perte. Être rejeté en tant que chercheur en sécurité fait partie du jeu. Au moins, je n'ai pas été poursuivi en justice. Il y a 10 ans, cela aurait probablement été le cas.
Une dernière question, sur reddit j'ai lu que vous avez réclamé 8000$ en bug bounties, avez-vous des plans sympas pour dépenser cet argent ?
Au total, ce bug m'a rapporté plus de 20 000 dollars. Plus de la moitié de cette somme est consacrée aux impôts. Je dépense le reste pour des choses normales comme des voyages, des sorties au restaurant, ... rien d'extraordinaire :-)
Merci beaucoup pour votre temps et bonne chance pour la chasse à l'avenir !
Le bogue existe toujours. Il ne peut pas être corrigé immédiatement. Au cours des derniers mois, j'ai contacté des dizaines d'entreprises et de fournisseurs concernés dans le cadre de leurs programmes de primes à la détection de bogues afin que leur installation soit corrigée.
Table des matières
Chercheur en sécurité applicative - Ingénieur R&D - Doctorant
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationTéléchargerRessources pour vous aider à démarrer
Évaluation comparative des compétences en matière de sécurité : Rationalisation de la conception sécurisée dans l'entreprise
Le mouvement "Secure-by-Design" (conception sécurisée) est l'avenir du développement de logiciels sécurisés. Découvrez les éléments clés que les entreprises doivent garder à l'esprit lorsqu'elles envisagent une initiative de conception sécurisée.
DigitalOcean réduit sa dette de sécurité avec Secure Code Warrior
L'utilisation par DigitalOcean de la formation Secure Code Warrior a considérablement réduit la dette de sécurité, permettant aux équipes de se concentrer davantage sur l'innovation et la productivité. L'amélioration de la sécurité a renforcé la qualité des produits et l'avantage concurrentiel de l'entreprise. À l'avenir, le score de confiance SCW les aidera à améliorer leurs pratiques de sécurité et à continuer à stimuler l'innovation.
Ressources pour vous aider à démarrer
La note de confiance révèle la valeur des initiatives d'amélioration de la sécurité par la conception
Nos recherches ont montré que la formation au code sécurisé fonctionne. Le Trust Score, qui utilise un algorithme s'appuyant sur plus de 20 millions de points de données d'apprentissage issus du travail de plus de 250 000 apprenants dans plus de 600 organisations, révèle son efficacité à réduire les vulnérabilités et la manière de rendre l'initiative encore plus efficace.
Sécurité réactive contre sécurité préventive : La prévention est un meilleur remède
L'idée d'apporter une sécurité préventive aux codes et systèmes existants en même temps qu'aux applications plus récentes peut sembler décourageante, mais une approche "Secure-by-Design", mise en œuvre en améliorant les compétences des développeurs, permet d'appliquer les meilleures pratiques de sécurité à ces systèmes. C'est la meilleure chance qu'ont de nombreuses organisations d'améliorer leur sécurité.
Les avantages de l'évaluation des compétences des développeurs en matière de sécurité
L'importance croissante accordée au code sécurisé et aux principes de conception sécurisée exige que les développeurs soient formés à la cybersécurité dès le début du cycle de développement durable, et que des outils tels que le Trust Score de Secure Code Warriorles aident à mesurer et à améliorer leurs progrès.
Assurer le succès des initiatives de conception sécurisée de l'entreprise
Notre dernier document de recherche, Benchmarking Security Skills : Streamlining Secure-by-Design in the Enterprise est le résultat d'une analyse approfondie d'initiatives réelles de conception sécurisée au niveau de l'entreprise, et de l'élaboration d'approches de meilleures pratiques basées sur des conclusions fondées sur des données.