Bonjour de l'autre côté. Entretien avec un chasseur de bugs.
Plus tôt ce mois-ci, le chasseur de bugs belge, Inti De Ceukelaire a révélé un hack créatif qui touche des centaines d'entreprises. L'astuce consiste à exploiter les défauts logique métier dans les services d'assistance les plus populaires et les outils de suivi des problèmes pour accéder à des intranets, à des comptes de réseaux sociaux ou, le plus souvent, à des équipes Yammer et Slack. Vous pouvez lire les détails sur Le propre billet de blog d'Inti. J'ai été impressionnée par la créativité nécessaire pour réaliser cet exploit et curieuse de connaître le processus impliqué. J'ai donc décidé de poser quelques questions à Inti, et je partage ses réponses avec vous.
Bonjour Inti, peux-tu te présenter brièvement à nos lecteurs ?
Je suis Inti, chasseuse d'insectes chez Intigriti et Hackerone. J'habite à Alost (Belgique) et je passe mes journées à casser des objets.
La semaine dernière, j'ai lu votre article de blog sur ce que vous avez depuis appelé « Ticket Trick » et j'ai été impressionné par la créativité dont vous avez fait preuve pour trouver cet exploit. Comment vous est venue l'idée d'essayer cette astuce ?
Je participe à des programmes de bug bounty, ce qui signifie que certains sites Web offrent de l'argent à des chercheurs en sécurité responsables qui découvrent des vulnérabilités uniques. Comme il y a beaucoup de concurrence, vous devez continuer à chercher des choses que d'autres n'ont pas encore trouvées. J'ai trouvé que Slack était un vecteur d'attaque intéressant car il contient souvent des informations sensibles et ne nécessite parfois qu'une adresse e-mail professionnelle valide. J'ai donc pris une bière, je me suis allongée sur le canapé et j'ai commencé à réfléchir à tous les vecteurs d'attaque possibles. Soudain, j'ai eu cette idée folle et il s'est avéré que cela a fonctionné. J'essaie généralement tout ce qui me passe par la tête. Même si cela ne fonctionne que quelques fois, c'est payant. ;-)
En tant que personne qui travaille généralement de l'autre côté, en essayant de sécuriser le code, je me demande souvent à quoi ressemble une session de pentesting. Où travaillez-vous ? Est-ce quelque chose que vous faites aussi pendant votre temps libre depuis votre canapé ? Ou êtes-vous assis dans un bureau ?
Pendant la journée, je travaille en tant que codeur créatif numérique pour une station de radio appelée Studio Brussel. Cela implique de la programmation et des réseaux sociaux, mais aucune sécurité. J'essaie de ne pas mélanger mon hobby avec mon travail professionnel. Je crains de perdre ma créativité si je le faisais. Je ne pirate pas souvent : au maximum quelques heures par semaine. Cela peut être à table, sur le canapé ou sur mon lit, selon ce qui est confortable à ce moment-là.
Comment commencez-vous ? Avez-vous un aide-mémoire ? Avez-vous des entrées à tester pour savoir si la validation des entrées est suffisante ou si la sortie s'échappe ?
Je suis vraiment chaotique, donc je n'ai pas vraiment de liste de contrôle, je me fie à mon intuition. La plupart du temps, je commence par ce que l'on appelle la reconnaissance : répertorier toutes les informations intéressantes sur les cibles, les sous-domaines, les adresses IP, tout ce que je peux trouver. J'essaie d'avoir une vue d'ensemble et de comprendre la logique métier avant même de commencer à pirater. Si vous ne recherchez que les vulnérabilités standard des manuels, vous passerez à côté de la plupart des failles les plus intelligentes et les plus complexes. En ce qui concerne la saisie, j'essaie de couvrir autant de vulnérabilités que possible dans une seule charge utile. Chaque fois que je découvre quelque chose d'intéressant, je m'y amuse pendant un moment et je lui lance plein de bêtises, juste pour voir comment le système réagit. Les meilleurs bugs se trouvent souvent dans les parties les plus reculées d'une application Web. J'essaie donc d'aller le plus loin possible.
Selon vous, qu'est-ce qui fait un bon pentester ? Y a-t-il des astuces que vous pourriez nous partager ?
Je ne suis pas un pentester, donc je ne peux pas vraiment parler pour les pentesters en général, mais je pense que la motivation et la persévérance sont les atouts les plus importants. La plupart des utilisateurs n'envisageront même pas de rechercher des failles de sécurité dans Google, car l'entreprise dispose des meilleurs ingénieurs du monde, mais l'entreprise verse des millions de primes de bogue chaque année. Je travaille sur une cible depuis plus de 2 ans et je commence maintenant à trouver des bugs vraiment intéressants. Cela prend du temps. Le problème des pentests normaux est que les testeurs reçoivent une récompense d'un montant fixe, qu'ils découvrent des vulnérabilités critiques ou non. Je crois qu'il reste encore beaucoup de bugs sur Facebook, il suffit de quelqu'un qui soit prêt à creuser suffisamment.
Lorsque vous avez pris conscience de l'ampleur du Ticket Trick, quelle a été votre première pensée ?
J'ai eu des sentiments mitigés. Je me suis sentie émerveillée et j'ai tout de suite pensé aux primes d'insectes que je pourrais collecter avec elle, mais d'un autre côté, j'ai été choquée que cela soit possible. Chaque fois que vous trouvez quelque chose comme ça, vous possédez soudainement de nombreuses informations précieuses qui intéresseraient vivement les parties malveillantes. Le processus de divulgation est difficile : vous devez informer autant d'entreprises concernées que possible, mais d'un autre côté, vous devez vous assurer que les informations ne sont pas divulguées ou utilisées de manière abusive.
Pourquoi avez-vous décidé de publier l'information avant de collecter d'autres primes ?
Il est plus important de faire le bon choix que de collecter des primes. Je pense que j'ai eu ma juste part et je veux maintenant redonner à la communauté. De plus, cela fait des mois que j'informe les entreprises à ce sujet, donc de plus en plus de personnes le savaient. Je ne voulais pas qu'il soit divulgué ou abusé par quelqu'un de mal intentionné.
Qu'avez-vous pensé des réponses des entreprises concernées ?
La plupart des réponses étaient satisfaisantes. Certaines entreprises ne s'en souciaient pas vraiment, mais en fin de compte, c'est leur perte. Être rejeté en tant que chercheur en sécurité fait partie du jeu. Au moins, je n'ai pas eu de procès. Il y a 10 ans, cela aurait probablement été le cas.
Une dernière question, sur Reddit, j'ai lu que vous aviez réclamé 8 000$ en bug bounties. Avez-vous des plans intéressants pour dépenser cet argent ?
Au total, j'ai obtenu plus de 20 000$ grâce à ce bogue. Plus de la moitié de cette somme est consacrée aux impôts. Je passe le reste à des choses normales comme les voyages, les sorties dîner,... rien de fou. :-)
Merci beaucoup pour le temps que vous m'avez accordé et bonne chance à la chasse à l'avenir !
Le bug existe toujours. Ce n'est pas quelque chose qui peut être réglé immédiatement. Au cours des derniers mois, j'ai contacté des dizaines d'entreprises et de fournisseurs concernés dans le cadre de leurs programmes de bug bounty afin de corriger leur configuration.
Le bug existe toujours. Ce n'est pas quelque chose qui peut être réglé immédiatement. Au cours des derniers mois, j'ai contacté des dizaines d'entreprises et de fournisseurs concernés dans le cadre de leurs programmes de bug bounty afin de corriger leur configuration.
Chercheur en sécurité des applications - Ingénieur R&D - Candidat au doctorat
Secure Code Warrior là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.
Chercheur en sécurité des applications - Ingénieur R&D - Candidat au doctorat
Plus tôt ce mois-ci, le chasseur de bugs belge, Inti De Ceukelaire a révélé un hack créatif qui touche des centaines d'entreprises. L'astuce consiste à exploiter les défauts logique métier dans les services d'assistance les plus populaires et les outils de suivi des problèmes pour accéder à des intranets, à des comptes de réseaux sociaux ou, le plus souvent, à des équipes Yammer et Slack. Vous pouvez lire les détails sur Le propre billet de blog d'Inti. J'ai été impressionnée par la créativité nécessaire pour réaliser cet exploit et curieuse de connaître le processus impliqué. J'ai donc décidé de poser quelques questions à Inti, et je partage ses réponses avec vous.
Bonjour Inti, peux-tu te présenter brièvement à nos lecteurs ?
Je suis Inti, chasseuse d'insectes chez Intigriti et Hackerone. J'habite à Alost (Belgique) et je passe mes journées à casser des objets.
La semaine dernière, j'ai lu votre article de blog sur ce que vous avez depuis appelé « Ticket Trick » et j'ai été impressionné par la créativité dont vous avez fait preuve pour trouver cet exploit. Comment vous est venue l'idée d'essayer cette astuce ?
Je participe à des programmes de bug bounty, ce qui signifie que certains sites Web offrent de l'argent à des chercheurs en sécurité responsables qui découvrent des vulnérabilités uniques. Comme il y a beaucoup de concurrence, vous devez continuer à chercher des choses que d'autres n'ont pas encore trouvées. J'ai trouvé que Slack était un vecteur d'attaque intéressant car il contient souvent des informations sensibles et ne nécessite parfois qu'une adresse e-mail professionnelle valide. J'ai donc pris une bière, je me suis allongée sur le canapé et j'ai commencé à réfléchir à tous les vecteurs d'attaque possibles. Soudain, j'ai eu cette idée folle et il s'est avéré que cela a fonctionné. J'essaie généralement tout ce qui me passe par la tête. Même si cela ne fonctionne que quelques fois, c'est payant. ;-)
En tant que personne qui travaille généralement de l'autre côté, en essayant de sécuriser le code, je me demande souvent à quoi ressemble une session de pentesting. Où travaillez-vous ? Est-ce quelque chose que vous faites aussi pendant votre temps libre depuis votre canapé ? Ou êtes-vous assis dans un bureau ?
Pendant la journée, je travaille en tant que codeur créatif numérique pour une station de radio appelée Studio Brussel. Cela implique de la programmation et des réseaux sociaux, mais aucune sécurité. J'essaie de ne pas mélanger mon hobby avec mon travail professionnel. Je crains de perdre ma créativité si je le faisais. Je ne pirate pas souvent : au maximum quelques heures par semaine. Cela peut être à table, sur le canapé ou sur mon lit, selon ce qui est confortable à ce moment-là.
Comment commencez-vous ? Avez-vous un aide-mémoire ? Avez-vous des entrées à tester pour savoir si la validation des entrées est suffisante ou si la sortie s'échappe ?
Je suis vraiment chaotique, donc je n'ai pas vraiment de liste de contrôle, je me fie à mon intuition. La plupart du temps, je commence par ce que l'on appelle la reconnaissance : répertorier toutes les informations intéressantes sur les cibles, les sous-domaines, les adresses IP, tout ce que je peux trouver. J'essaie d'avoir une vue d'ensemble et de comprendre la logique métier avant même de commencer à pirater. Si vous ne recherchez que les vulnérabilités standard des manuels, vous passerez à côté de la plupart des failles les plus intelligentes et les plus complexes. En ce qui concerne la saisie, j'essaie de couvrir autant de vulnérabilités que possible dans une seule charge utile. Chaque fois que je découvre quelque chose d'intéressant, je m'y amuse pendant un moment et je lui lance plein de bêtises, juste pour voir comment le système réagit. Les meilleurs bugs se trouvent souvent dans les parties les plus reculées d'une application Web. J'essaie donc d'aller le plus loin possible.
Selon vous, qu'est-ce qui fait un bon pentester ? Y a-t-il des astuces que vous pourriez nous partager ?
Je ne suis pas un pentester, donc je ne peux pas vraiment parler pour les pentesters en général, mais je pense que la motivation et la persévérance sont les atouts les plus importants. La plupart des utilisateurs n'envisageront même pas de rechercher des failles de sécurité dans Google, car l'entreprise dispose des meilleurs ingénieurs du monde, mais l'entreprise verse des millions de primes de bogue chaque année. Je travaille sur une cible depuis plus de 2 ans et je commence maintenant à trouver des bugs vraiment intéressants. Cela prend du temps. Le problème des pentests normaux est que les testeurs reçoivent une récompense d'un montant fixe, qu'ils découvrent des vulnérabilités critiques ou non. Je crois qu'il reste encore beaucoup de bugs sur Facebook, il suffit de quelqu'un qui soit prêt à creuser suffisamment.
Lorsque vous avez pris conscience de l'ampleur du Ticket Trick, quelle a été votre première pensée ?
J'ai eu des sentiments mitigés. Je me suis sentie émerveillée et j'ai tout de suite pensé aux primes d'insectes que je pourrais collecter avec elle, mais d'un autre côté, j'ai été choquée que cela soit possible. Chaque fois que vous trouvez quelque chose comme ça, vous possédez soudainement de nombreuses informations précieuses qui intéresseraient vivement les parties malveillantes. Le processus de divulgation est difficile : vous devez informer autant d'entreprises concernées que possible, mais d'un autre côté, vous devez vous assurer que les informations ne sont pas divulguées ou utilisées de manière abusive.
Pourquoi avez-vous décidé de publier l'information avant de collecter d'autres primes ?
Il est plus important de faire le bon choix que de collecter des primes. Je pense que j'ai eu ma juste part et je veux maintenant redonner à la communauté. De plus, cela fait des mois que j'informe les entreprises à ce sujet, donc de plus en plus de personnes le savaient. Je ne voulais pas qu'il soit divulgué ou abusé par quelqu'un de mal intentionné.
Qu'avez-vous pensé des réponses des entreprises concernées ?
La plupart des réponses étaient satisfaisantes. Certaines entreprises ne s'en souciaient pas vraiment, mais en fin de compte, c'est leur perte. Être rejeté en tant que chercheur en sécurité fait partie du jeu. Au moins, je n'ai pas eu de procès. Il y a 10 ans, cela aurait probablement été le cas.
Une dernière question, sur Reddit, j'ai lu que vous aviez réclamé 8 000$ en bug bounties. Avez-vous des plans intéressants pour dépenser cet argent ?
Au total, j'ai obtenu plus de 20 000$ grâce à ce bogue. Plus de la moitié de cette somme est consacrée aux impôts. Je passe le reste à des choses normales comme les voyages, les sorties dîner,... rien de fou. :-)
Merci beaucoup pour le temps que vous m'avez accordé et bonne chance à la chasse à l'avenir !
Le bug existe toujours. Ce n'est pas quelque chose qui peut être réglé immédiatement. Au cours des derniers mois, j'ai contacté des dizaines d'entreprises et de fournisseurs concernés dans le cadre de leurs programmes de bug bounty afin de corriger leur configuration.
Plus tôt ce mois-ci, le chasseur de bugs belge, Inti De Ceukelaire a révélé un hack créatif qui touche des centaines d'entreprises. L'astuce consiste à exploiter les défauts logique métier dans les services d'assistance les plus populaires et les outils de suivi des problèmes pour accéder à des intranets, à des comptes de réseaux sociaux ou, le plus souvent, à des équipes Yammer et Slack. Vous pouvez lire les détails sur Le propre billet de blog d'Inti. J'ai été impressionnée par la créativité nécessaire pour réaliser cet exploit et curieuse de connaître le processus impliqué. J'ai donc décidé de poser quelques questions à Inti, et je partage ses réponses avec vous.
Bonjour Inti, peux-tu te présenter brièvement à nos lecteurs ?
Je suis Inti, chasseuse d'insectes chez Intigriti et Hackerone. J'habite à Alost (Belgique) et je passe mes journées à casser des objets.
La semaine dernière, j'ai lu votre article de blog sur ce que vous avez depuis appelé « Ticket Trick » et j'ai été impressionné par la créativité dont vous avez fait preuve pour trouver cet exploit. Comment vous est venue l'idée d'essayer cette astuce ?
Je participe à des programmes de bug bounty, ce qui signifie que certains sites Web offrent de l'argent à des chercheurs en sécurité responsables qui découvrent des vulnérabilités uniques. Comme il y a beaucoup de concurrence, vous devez continuer à chercher des choses que d'autres n'ont pas encore trouvées. J'ai trouvé que Slack était un vecteur d'attaque intéressant car il contient souvent des informations sensibles et ne nécessite parfois qu'une adresse e-mail professionnelle valide. J'ai donc pris une bière, je me suis allongée sur le canapé et j'ai commencé à réfléchir à tous les vecteurs d'attaque possibles. Soudain, j'ai eu cette idée folle et il s'est avéré que cela a fonctionné. J'essaie généralement tout ce qui me passe par la tête. Même si cela ne fonctionne que quelques fois, c'est payant. ;-)
En tant que personne qui travaille généralement de l'autre côté, en essayant de sécuriser le code, je me demande souvent à quoi ressemble une session de pentesting. Où travaillez-vous ? Est-ce quelque chose que vous faites aussi pendant votre temps libre depuis votre canapé ? Ou êtes-vous assis dans un bureau ?
Pendant la journée, je travaille en tant que codeur créatif numérique pour une station de radio appelée Studio Brussel. Cela implique de la programmation et des réseaux sociaux, mais aucune sécurité. J'essaie de ne pas mélanger mon hobby avec mon travail professionnel. Je crains de perdre ma créativité si je le faisais. Je ne pirate pas souvent : au maximum quelques heures par semaine. Cela peut être à table, sur le canapé ou sur mon lit, selon ce qui est confortable à ce moment-là.
Comment commencez-vous ? Avez-vous un aide-mémoire ? Avez-vous des entrées à tester pour savoir si la validation des entrées est suffisante ou si la sortie s'échappe ?
Je suis vraiment chaotique, donc je n'ai pas vraiment de liste de contrôle, je me fie à mon intuition. La plupart du temps, je commence par ce que l'on appelle la reconnaissance : répertorier toutes les informations intéressantes sur les cibles, les sous-domaines, les adresses IP, tout ce que je peux trouver. J'essaie d'avoir une vue d'ensemble et de comprendre la logique métier avant même de commencer à pirater. Si vous ne recherchez que les vulnérabilités standard des manuels, vous passerez à côté de la plupart des failles les plus intelligentes et les plus complexes. En ce qui concerne la saisie, j'essaie de couvrir autant de vulnérabilités que possible dans une seule charge utile. Chaque fois que je découvre quelque chose d'intéressant, je m'y amuse pendant un moment et je lui lance plein de bêtises, juste pour voir comment le système réagit. Les meilleurs bugs se trouvent souvent dans les parties les plus reculées d'une application Web. J'essaie donc d'aller le plus loin possible.
Selon vous, qu'est-ce qui fait un bon pentester ? Y a-t-il des astuces que vous pourriez nous partager ?
Je ne suis pas un pentester, donc je ne peux pas vraiment parler pour les pentesters en général, mais je pense que la motivation et la persévérance sont les atouts les plus importants. La plupart des utilisateurs n'envisageront même pas de rechercher des failles de sécurité dans Google, car l'entreprise dispose des meilleurs ingénieurs du monde, mais l'entreprise verse des millions de primes de bogue chaque année. Je travaille sur une cible depuis plus de 2 ans et je commence maintenant à trouver des bugs vraiment intéressants. Cela prend du temps. Le problème des pentests normaux est que les testeurs reçoivent une récompense d'un montant fixe, qu'ils découvrent des vulnérabilités critiques ou non. Je crois qu'il reste encore beaucoup de bugs sur Facebook, il suffit de quelqu'un qui soit prêt à creuser suffisamment.
Lorsque vous avez pris conscience de l'ampleur du Ticket Trick, quelle a été votre première pensée ?
J'ai eu des sentiments mitigés. Je me suis sentie émerveillée et j'ai tout de suite pensé aux primes d'insectes que je pourrais collecter avec elle, mais d'un autre côté, j'ai été choquée que cela soit possible. Chaque fois que vous trouvez quelque chose comme ça, vous possédez soudainement de nombreuses informations précieuses qui intéresseraient vivement les parties malveillantes. Le processus de divulgation est difficile : vous devez informer autant d'entreprises concernées que possible, mais d'un autre côté, vous devez vous assurer que les informations ne sont pas divulguées ou utilisées de manière abusive.
Pourquoi avez-vous décidé de publier l'information avant de collecter d'autres primes ?
Il est plus important de faire le bon choix que de collecter des primes. Je pense que j'ai eu ma juste part et je veux maintenant redonner à la communauté. De plus, cela fait des mois que j'informe les entreprises à ce sujet, donc de plus en plus de personnes le savaient. Je ne voulais pas qu'il soit divulgué ou abusé par quelqu'un de mal intentionné.
Qu'avez-vous pensé des réponses des entreprises concernées ?
La plupart des réponses étaient satisfaisantes. Certaines entreprises ne s'en souciaient pas vraiment, mais en fin de compte, c'est leur perte. Être rejeté en tant que chercheur en sécurité fait partie du jeu. Au moins, je n'ai pas eu de procès. Il y a 10 ans, cela aurait probablement été le cas.
Une dernière question, sur Reddit, j'ai lu que vous aviez réclamé 8 000$ en bug bounties. Avez-vous des plans intéressants pour dépenser cet argent ?
Au total, j'ai obtenu plus de 20 000$ grâce à ce bogue. Plus de la moitié de cette somme est consacrée aux impôts. Je passe le reste à des choses normales comme les voyages, les sorties dîner,... rien de fou. :-)
Merci beaucoup pour le temps que vous m'avez accordé et bonne chance à la chasse à l'avenir !
Le bug existe toujours. Ce n'est pas quelque chose qui peut être réglé immédiatement. Au cours des derniers mois, j'ai contacté des dizaines d'entreprises et de fournisseurs concernés dans le cadre de leurs programmes de bug bounty afin de corriger leur configuration.
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez consulter le rapportVeuillez réserver une démonstration.
Chercheur en sécurité des applications - Ingénieur R&D - Candidat au doctorat
Plus tôt ce mois-ci, le chasseur de bugs belge, Inti De Ceukelaire a révélé un hack créatif qui touche des centaines d'entreprises. L'astuce consiste à exploiter les défauts logique métier dans les services d'assistance les plus populaires et les outils de suivi des problèmes pour accéder à des intranets, à des comptes de réseaux sociaux ou, le plus souvent, à des équipes Yammer et Slack. Vous pouvez lire les détails sur Le propre billet de blog d'Inti. J'ai été impressionnée par la créativité nécessaire pour réaliser cet exploit et curieuse de connaître le processus impliqué. J'ai donc décidé de poser quelques questions à Inti, et je partage ses réponses avec vous.
Bonjour Inti, peux-tu te présenter brièvement à nos lecteurs ?
Je suis Inti, chasseuse d'insectes chez Intigriti et Hackerone. J'habite à Alost (Belgique) et je passe mes journées à casser des objets.
La semaine dernière, j'ai lu votre article de blog sur ce que vous avez depuis appelé « Ticket Trick » et j'ai été impressionné par la créativité dont vous avez fait preuve pour trouver cet exploit. Comment vous est venue l'idée d'essayer cette astuce ?
Je participe à des programmes de bug bounty, ce qui signifie que certains sites Web offrent de l'argent à des chercheurs en sécurité responsables qui découvrent des vulnérabilités uniques. Comme il y a beaucoup de concurrence, vous devez continuer à chercher des choses que d'autres n'ont pas encore trouvées. J'ai trouvé que Slack était un vecteur d'attaque intéressant car il contient souvent des informations sensibles et ne nécessite parfois qu'une adresse e-mail professionnelle valide. J'ai donc pris une bière, je me suis allongée sur le canapé et j'ai commencé à réfléchir à tous les vecteurs d'attaque possibles. Soudain, j'ai eu cette idée folle et il s'est avéré que cela a fonctionné. J'essaie généralement tout ce qui me passe par la tête. Même si cela ne fonctionne que quelques fois, c'est payant. ;-)
En tant que personne qui travaille généralement de l'autre côté, en essayant de sécuriser le code, je me demande souvent à quoi ressemble une session de pentesting. Où travaillez-vous ? Est-ce quelque chose que vous faites aussi pendant votre temps libre depuis votre canapé ? Ou êtes-vous assis dans un bureau ?
Pendant la journée, je travaille en tant que codeur créatif numérique pour une station de radio appelée Studio Brussel. Cela implique de la programmation et des réseaux sociaux, mais aucune sécurité. J'essaie de ne pas mélanger mon hobby avec mon travail professionnel. Je crains de perdre ma créativité si je le faisais. Je ne pirate pas souvent : au maximum quelques heures par semaine. Cela peut être à table, sur le canapé ou sur mon lit, selon ce qui est confortable à ce moment-là.
Comment commencez-vous ? Avez-vous un aide-mémoire ? Avez-vous des entrées à tester pour savoir si la validation des entrées est suffisante ou si la sortie s'échappe ?
Je suis vraiment chaotique, donc je n'ai pas vraiment de liste de contrôle, je me fie à mon intuition. La plupart du temps, je commence par ce que l'on appelle la reconnaissance : répertorier toutes les informations intéressantes sur les cibles, les sous-domaines, les adresses IP, tout ce que je peux trouver. J'essaie d'avoir une vue d'ensemble et de comprendre la logique métier avant même de commencer à pirater. Si vous ne recherchez que les vulnérabilités standard des manuels, vous passerez à côté de la plupart des failles les plus intelligentes et les plus complexes. En ce qui concerne la saisie, j'essaie de couvrir autant de vulnérabilités que possible dans une seule charge utile. Chaque fois que je découvre quelque chose d'intéressant, je m'y amuse pendant un moment et je lui lance plein de bêtises, juste pour voir comment le système réagit. Les meilleurs bugs se trouvent souvent dans les parties les plus reculées d'une application Web. J'essaie donc d'aller le plus loin possible.
Selon vous, qu'est-ce qui fait un bon pentester ? Y a-t-il des astuces que vous pourriez nous partager ?
Je ne suis pas un pentester, donc je ne peux pas vraiment parler pour les pentesters en général, mais je pense que la motivation et la persévérance sont les atouts les plus importants. La plupart des utilisateurs n'envisageront même pas de rechercher des failles de sécurité dans Google, car l'entreprise dispose des meilleurs ingénieurs du monde, mais l'entreprise verse des millions de primes de bogue chaque année. Je travaille sur une cible depuis plus de 2 ans et je commence maintenant à trouver des bugs vraiment intéressants. Cela prend du temps. Le problème des pentests normaux est que les testeurs reçoivent une récompense d'un montant fixe, qu'ils découvrent des vulnérabilités critiques ou non. Je crois qu'il reste encore beaucoup de bugs sur Facebook, il suffit de quelqu'un qui soit prêt à creuser suffisamment.
Lorsque vous avez pris conscience de l'ampleur du Ticket Trick, quelle a été votre première pensée ?
J'ai eu des sentiments mitigés. Je me suis sentie émerveillée et j'ai tout de suite pensé aux primes d'insectes que je pourrais collecter avec elle, mais d'un autre côté, j'ai été choquée que cela soit possible. Chaque fois que vous trouvez quelque chose comme ça, vous possédez soudainement de nombreuses informations précieuses qui intéresseraient vivement les parties malveillantes. Le processus de divulgation est difficile : vous devez informer autant d'entreprises concernées que possible, mais d'un autre côté, vous devez vous assurer que les informations ne sont pas divulguées ou utilisées de manière abusive.
Pourquoi avez-vous décidé de publier l'information avant de collecter d'autres primes ?
Il est plus important de faire le bon choix que de collecter des primes. Je pense que j'ai eu ma juste part et je veux maintenant redonner à la communauté. De plus, cela fait des mois que j'informe les entreprises à ce sujet, donc de plus en plus de personnes le savaient. Je ne voulais pas qu'il soit divulgué ou abusé par quelqu'un de mal intentionné.
Qu'avez-vous pensé des réponses des entreprises concernées ?
La plupart des réponses étaient satisfaisantes. Certaines entreprises ne s'en souciaient pas vraiment, mais en fin de compte, c'est leur perte. Être rejeté en tant que chercheur en sécurité fait partie du jeu. Au moins, je n'ai pas eu de procès. Il y a 10 ans, cela aurait probablement été le cas.
Une dernière question, sur Reddit, j'ai lu que vous aviez réclamé 8 000$ en bug bounties. Avez-vous des plans intéressants pour dépenser cet argent ?
Au total, j'ai obtenu plus de 20 000$ grâce à ce bogue. Plus de la moitié de cette somme est consacrée aux impôts. Je passe le reste à des choses normales comme les voyages, les sorties dîner,... rien de fou. :-)
Merci beaucoup pour le temps que vous m'avez accordé et bonne chance à la chasse à l'avenir !
Le bug existe toujours. Ce n'est pas quelque chose qui peut être réglé immédiatement. Au cours des derniers mois, j'ai contacté des dizaines d'entreprises et de fournisseurs concernés dans le cadre de leurs programmes de bug bounty afin de corriger leur configuration.
Table des matières
Chercheur en sécurité des applications - Ingénieur R&D - Candidat au doctorat
Secure Code Warrior là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.TéléchargerRessources pour vous aider à démarrer
Thèmes et contenus de formation sur le code sécurisé
Notre contenu de pointe évolue constamment pour s'adapter à l'évolution constante du paysage du développement de logiciels tout en tenant compte de votre rôle. Des sujets couvrant tout, de l'IA à l'injection XQuery, proposés pour une variété de postes, allant des architectes aux ingénieurs en passant par les chefs de produit et l'assurance qualité. Découvrez un aperçu de ce que notre catalogue de contenu a à offrir par sujet et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour vous aider à démarrer
Cybermon est de retour : les missions Beat the Boss sont désormais disponibles sur demande.
Cybermon 2025 : Vaincre le Boss est désormais accessible toute l'année dans SCW. Mettez en œuvre des défis de sécurité avancés liés à l'IA et au LLM afin de renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès leur conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes d'ingénieurs peuvent se préparer grâce à des pratiques de sécurité dès la conception, à la prévention des vulnérabilités et au renforcement des capacités des développeurs.
Facilitateur 1 : Critères de réussite clairement définis et mesurables
Enabler 1 inaugure notre série en 10 parties intitulée « Enablers of Success » en démontrant comment associer le codage sécurisé à des résultats commerciaux tels que la réduction des risques et la rapidité afin d'assurer la maturité à long terme des programmes.
