Au début de ce mois, le chasseur de bugs belge, Inti De Ceukelaire a révélé un piratage créatif qui affecte des centaines d'entreprises. L'astuce consiste à exploiter une logique commerciale dans les services d'assistance et les systèmes de suivi des problèmes les plus répandus pour accéder aux intranets, aux comptes de médias sociaux ou, le plus souvent, aux équipes Yammer et Slack. Vous pouvez lire les détails sur le blog d sur le blog d'Inti. J'ai été impressionné par la créativité nécessaire pour mettre au point cet exploit et curieux de connaître le processus impliqué, j'ai donc décidé de poser quelques questions à Inti, et je partage ses réponses avec vous.
Bonjour Inti, pouvez-vous vous présenter brièvement à nos lecteurs ?
Je suis Inti, chasseur de bugs chez Intigriti et Hackerone. Je vis à Alost (Belgique) et je passe mes journées à casser des trucs.
La semaine dernière, j'ai lu votre article de blog sur ce que vous avez appelé depuis "Ticket Trick" et j'ai été impressionné par la créativité dont vous avez fait preuve pour trouver cet exploit. Comment vous est venue l'idée d'essayer cette astuce ?
Je participe à des programmes de primes aux bugs, ce qui signifie que certains sites web offrent de l'argent aux chercheurs en sécurité responsables qui découvrent des vulnérabilités uniques. Comme il y a beaucoup de concurrence, vous devez continuer à chercher des choses que d'autres n'ont pas encore trouvées. J'ai pensé que Slack était un vecteur d'attaque intéressant parce qu'il contient souvent des informations sensibles et qu'il suffit parfois d'une adresse électronique valide de l'entreprise. J'ai donc pris une bière, je me suis allongé sur le canapé et j'ai commencé à réfléchir à tous les vecteurs d'attaque possibles. Soudain, j'ai eu une idée folle, qui s'est avérée efficace. En général, j'essaie tout ce qui me passe par la tête. Même si cela ne fonctionne que quelques fois, c'est payant ;-)
En tant que personne travaillant habituellement du côté opposé, essayant de sécuriser le code, je me demande souvent à quoi ressemble une session de pentesting. Où travaillez-vous ? Est-ce quelque chose que vous faites également pendant votre temps libre depuis votre canapé ? Ou travaillez-vous dans un bureau ?
Pendant la journée, je travaille comme codeur créatif numérique dans une station de radio appelée Studio Brussel. Cela implique un peu de programmation et un peu de médias sociaux, mais pas de sécurité. J'essaie de ne pas mélanger mon hobby avec mon travail professionnel. J'ai peur de perdre ma créativité si je le fais. Je ne pirate pas très souvent : au maximum quelques heures par semaine. Je peux le faire à la table, sur le canapé ou sur mon lit - ce qui me convient le mieux à ce moment-là.
Comment commencez-vous ? Disposez-vous d'une antisèche ? Disposez-vous de quelques données pour vérifier si la validation des entrées ou l'échappement des sorties sont suffisants ?
Je suis très chaotique, donc je n'ai pas vraiment de liste de contrôle, je me fie à mon intuition. La plupart du temps, je commence par ce que l'on appelle la reconnaissance : je répertorie toutes les informations intéressantes sur la cible, les sous-domaines, les adresses IP, tout ce que je peux trouver. J'essaie d'avoir une vue d'ensemble et de comprendre la logique de l'entreprise avant même de commencer à pirater. Si vous ne recherchez que les vulnérabilités classiques, vous passerez à côté des failles les plus intelligentes et les plus complexes. En ce qui concerne les données d'entrée, j'essaie de couvrir le plus grand nombre possible de vulnérabilités dans une seule charge utile. Chaque fois que je découvre quelque chose d'intéressant, je joue avec pendant un certain temps et j'y jette un tas d'absurdités, juste pour voir comment le système y réagit. Les meilleurs bugs se trouvent souvent dans les parties les plus éloignées d'une application web, c'est pourquoi j'essaie de creuser aussi profondément que possible.
Selon vous, qu'est-ce qui fait un bon pentester ? Avez-vous des astuces à nous faire partager ?
Je ne suis pas un pentester et je ne peux donc pas vraiment parler pour les pentesters en général, mais je pense que la motivation et la persévérance sont les atouts les plus importants. La plupart des gens n'envisagent même pas de chercher des failles de sécurité chez Google, qui dispose des meilleurs ingénieurs du monde, et qui paie pourtant des millions de primes aux bugs chaque année. Je travaille sur une cible depuis plus de deux ans et je commence maintenant à trouver les bogues les plus intéressants. Cela prend du temps. Le problème avec le pentesting normal est que les testeurs sont récompensés par un montant fixe, qu'ils trouvent des vulnérabilités critiques ou non. Je pense qu'il y a encore beaucoup de bogues dans Facebook, il suffit que quelqu'un soit prêt à creuser assez profondément.
Lorsque vous avez réalisé l'ampleur du Ticket Trick, quelle a été votre première réaction ?
Mes sentiments étaient partagés. J'ai été stupéfait et j'ai immédiatement pensé aux primes de bogues que je pourrais collecter avec cela, mais d'un autre côté, j'ai été choqué que cela soit possible. Chaque fois que vous trouvez quelque chose comme cela, vous possédez soudain un grand nombre d'informations précieuses qui pourraient intéresser des parties malveillantes. Le processus de divulgation est difficile : vous devez informer le plus grand nombre possible d'entreprises concernées, mais d'un autre côté, vous devez vous assurer que les informations ne font pas l'objet d'une fuite ou d'une utilisation abusive.
Pourquoi avez-vous décidé de divulguer ces informations avant de collecter d'autres primes ?
Il est plus important de faire ce qui est juste que de collecter des primes. Je pense que j'ai eu ma part du gâteau et je veux maintenant rendre à la communauté ce qu'elle m'a donné. En outre, j'ai informé les entreprises de ce problème pendant des mois, de sorte que de plus en plus de gens sont au courant. Je ne voulais pas qu'il y ait des fuites ou des abus de la part de personnes mal intentionnées.
Que pensez-vous des réponses des entreprises concernées ?
La plupart des réponses ont été satisfaisantes. Certaines entreprises ne s'en souciaient pas vraiment, mais en fin de compte, c'est leur perte. Être rejeté en tant que chercheur en sécurité fait partie du jeu. Au moins, je n'ai pas été poursuivi en justice. Il y a 10 ans, cela aurait probablement été le cas.
Une dernière question, sur reddit j'ai lu que vous avez réclamé 8000$ en bug bounties, avez-vous des plans sympas pour dépenser cet argent ?
Au total, ce bug m'a rapporté plus de 20 000 dollars. Plus de la moitié de cette somme est consacrée aux impôts. Je dépense le reste pour des choses normales comme des voyages, des sorties au restaurant, ... rien d'extraordinaire :-)
Merci beaucoup pour votre temps et bonne chance pour la chasse à l'avenir !
Le bogue existe toujours. Il ne peut pas être corrigé immédiatement. Au cours des derniers mois, j'ai contacté des dizaines d'entreprises et de fournisseurs concernés dans le cadre de leurs programmes de primes à la détection de bogues afin que leur installation soit corrigée.
https://medium.freecodecamp.org/how-i-hacked-hundreds-of-companies-through-their-helpdesk-b7680ddc2d4c