Bonjour de l'autre côté. Entretien avec un chasseur de bugs.
Plus tôt ce mois-ci, le chasseur de bugs belge, Inti De Ceukelaire a révélé un hack créatif qui touche des centaines d'entreprises. L'astuce consiste à exploiter les défauts logique métier dans les services d'assistance les plus populaires et les outils de suivi des problèmes pour accéder à des intranets, à des comptes de réseaux sociaux ou, le plus souvent, à des équipes Yammer et Slack. Vous pouvez lire les détails sur Le propre billet de blog d'Inti. J'ai été impressionnée par la créativité nécessaire pour réaliser cet exploit et curieuse de connaître le processus impliqué. J'ai donc décidé de poser quelques questions à Inti, et je partage ses réponses avec vous.
Bonjour Inti, peux-tu te présenter brièvement à nos lecteurs ?
Je suis Inti, chasseuse d'insectes chez Intigriti et Hackerone. J'habite à Alost (Belgique) et je passe mes journées à casser des objets.
La semaine dernière, j'ai lu votre article de blog sur ce que vous avez depuis appelé « Ticket Trick » et j'ai été impressionné par la créativité dont vous avez fait preuve pour trouver cet exploit. Comment vous est venue l'idée d'essayer cette astuce ?
Je participe à des programmes de bug bounty, ce qui signifie que certains sites Web offrent de l'argent à des chercheurs en sécurité responsables qui découvrent des vulnérabilités uniques. Comme il y a beaucoup de concurrence, vous devez continuer à chercher des choses que d'autres n'ont pas encore trouvées. J'ai trouvé que Slack était un vecteur d'attaque intéressant car il contient souvent des informations sensibles et ne nécessite parfois qu'une adresse e-mail professionnelle valide. J'ai donc pris une bière, je me suis allongée sur le canapé et j'ai commencé à réfléchir à tous les vecteurs d'attaque possibles. Soudain, j'ai eu cette idée folle et il s'est avéré que cela a fonctionné. J'essaie généralement tout ce qui me passe par la tête. Même si cela ne fonctionne que quelques fois, c'est payant. ;-)
En tant que personne qui travaille généralement de l'autre côté, en essayant de sécuriser le code, je me demande souvent à quoi ressemble une session de pentesting. Où travaillez-vous ? Est-ce quelque chose que vous faites aussi pendant votre temps libre depuis votre canapé ? Ou êtes-vous assis dans un bureau ?
Pendant la journée, je travaille en tant que codeur créatif numérique pour une station de radio appelée Studio Brussel. Cela implique de la programmation et des réseaux sociaux, mais aucune sécurité. J'essaie de ne pas mélanger mon hobby avec mon travail professionnel. Je crains de perdre ma créativité si je le faisais. Je ne pirate pas souvent : au maximum quelques heures par semaine. Cela peut être à table, sur le canapé ou sur mon lit, selon ce qui est confortable à ce moment-là.
Comment commencez-vous ? Avez-vous un aide-mémoire ? Avez-vous des entrées à tester pour savoir si la validation des entrées est suffisante ou si la sortie s'échappe ?
Je suis vraiment chaotique, donc je n'ai pas vraiment de liste de contrôle, je me fie à mon intuition. La plupart du temps, je commence par ce que l'on appelle la reconnaissance : répertorier toutes les informations intéressantes sur les cibles, les sous-domaines, les adresses IP, tout ce que je peux trouver. J'essaie d'avoir une vue d'ensemble et de comprendre la logique métier avant même de commencer à pirater. Si vous ne recherchez que les vulnérabilités standard des manuels, vous passerez à côté de la plupart des failles les plus intelligentes et les plus complexes. En ce qui concerne la saisie, j'essaie de couvrir autant de vulnérabilités que possible dans une seule charge utile. Chaque fois que je découvre quelque chose d'intéressant, je m'y amuse pendant un moment et je lui lance plein de bêtises, juste pour voir comment le système réagit. Les meilleurs bugs se trouvent souvent dans les parties les plus reculées d'une application Web. J'essaie donc d'aller le plus loin possible.
Selon vous, qu'est-ce qui fait un bon pentester ? Y a-t-il des astuces que vous pourriez nous partager ?
Je ne suis pas un pentester, donc je ne peux pas vraiment parler pour les pentesters en général, mais je pense que la motivation et la persévérance sont les atouts les plus importants. La plupart des utilisateurs n'envisageront même pas de rechercher des failles de sécurité dans Google, car l'entreprise dispose des meilleurs ingénieurs du monde, mais l'entreprise verse des millions de primes de bogue chaque année. Je travaille sur une cible depuis plus de 2 ans et je commence maintenant à trouver des bugs vraiment intéressants. Cela prend du temps. Le problème des pentests normaux est que les testeurs reçoivent une récompense d'un montant fixe, qu'ils découvrent des vulnérabilités critiques ou non. Je crois qu'il reste encore beaucoup de bugs sur Facebook, il suffit de quelqu'un qui soit prêt à creuser suffisamment.
Lorsque vous avez pris conscience de l'ampleur du Ticket Trick, quelle a été votre première pensée ?
J'ai eu des sentiments mitigés. Je me suis sentie émerveillée et j'ai tout de suite pensé aux primes d'insectes que je pourrais collecter avec elle, mais d'un autre côté, j'ai été choquée que cela soit possible. Chaque fois que vous trouvez quelque chose comme ça, vous possédez soudainement de nombreuses informations précieuses qui intéresseraient vivement les parties malveillantes. Le processus de divulgation est difficile : vous devez informer autant d'entreprises concernées que possible, mais d'un autre côté, vous devez vous assurer que les informations ne sont pas divulguées ou utilisées de manière abusive.
Pourquoi avez-vous décidé de publier l'information avant de collecter d'autres primes ?
Il est plus important de faire le bon choix que de collecter des primes. Je pense que j'ai eu ma juste part et je veux maintenant redonner à la communauté. De plus, cela fait des mois que j'informe les entreprises à ce sujet, donc de plus en plus de personnes le savaient. Je ne voulais pas qu'il soit divulgué ou abusé par quelqu'un de mal intentionné.
Qu'avez-vous pensé des réponses des entreprises concernées ?
La plupart des réponses étaient satisfaisantes. Certaines entreprises ne s'en souciaient pas vraiment, mais en fin de compte, c'est leur perte. Être rejeté en tant que chercheur en sécurité fait partie du jeu. Au moins, je n'ai pas eu de procès. Il y a 10 ans, cela aurait probablement été le cas.
Une dernière question, sur Reddit, j'ai lu que vous aviez réclamé 8 000$ en bug bounties. Avez-vous des plans intéressants pour dépenser cet argent ?
Au total, j'ai obtenu plus de 20 000$ grâce à ce bogue. Plus de la moitié de cette somme est consacrée aux impôts. Je passe le reste à des choses normales comme les voyages, les sorties dîner,... rien de fou. :-)
Merci beaucoup pour le temps que vous m'avez accordé et bonne chance à la chasse à l'avenir !
Le bug existe toujours. Ce n'est pas quelque chose qui peut être réglé immédiatement. Au cours des derniers mois, j'ai contacté des dizaines d'entreprises et de fournisseurs concernés dans le cadre de leurs programmes de bug bounty afin de corriger leur configuration.
Le bug existe toujours. Ce n'est pas quelque chose qui peut être réglé immédiatement. Au cours des derniers mois, j'ai contacté des dizaines d'entreprises et de fournisseurs concernés dans le cadre de leurs programmes de bug bounty afin de corriger leur configuration.
Chercheur en sécurité des applications - Ingénieur R&D - Candidat au doctorat
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démo
Chercheur en sécurité des applications - Ingénieur R&D - Candidat au doctorat
Plus tôt ce mois-ci, le chasseur de bugs belge, Inti De Ceukelaire a révélé un hack créatif qui touche des centaines d'entreprises. L'astuce consiste à exploiter les défauts logique métier dans les services d'assistance les plus populaires et les outils de suivi des problèmes pour accéder à des intranets, à des comptes de réseaux sociaux ou, le plus souvent, à des équipes Yammer et Slack. Vous pouvez lire les détails sur Le propre billet de blog d'Inti. J'ai été impressionnée par la créativité nécessaire pour réaliser cet exploit et curieuse de connaître le processus impliqué. J'ai donc décidé de poser quelques questions à Inti, et je partage ses réponses avec vous.
Bonjour Inti, peux-tu te présenter brièvement à nos lecteurs ?
Je suis Inti, chasseuse d'insectes chez Intigriti et Hackerone. J'habite à Alost (Belgique) et je passe mes journées à casser des objets.
La semaine dernière, j'ai lu votre article de blog sur ce que vous avez depuis appelé « Ticket Trick » et j'ai été impressionné par la créativité dont vous avez fait preuve pour trouver cet exploit. Comment vous est venue l'idée d'essayer cette astuce ?
Je participe à des programmes de bug bounty, ce qui signifie que certains sites Web offrent de l'argent à des chercheurs en sécurité responsables qui découvrent des vulnérabilités uniques. Comme il y a beaucoup de concurrence, vous devez continuer à chercher des choses que d'autres n'ont pas encore trouvées. J'ai trouvé que Slack était un vecteur d'attaque intéressant car il contient souvent des informations sensibles et ne nécessite parfois qu'une adresse e-mail professionnelle valide. J'ai donc pris une bière, je me suis allongée sur le canapé et j'ai commencé à réfléchir à tous les vecteurs d'attaque possibles. Soudain, j'ai eu cette idée folle et il s'est avéré que cela a fonctionné. J'essaie généralement tout ce qui me passe par la tête. Même si cela ne fonctionne que quelques fois, c'est payant. ;-)
En tant que personne qui travaille généralement de l'autre côté, en essayant de sécuriser le code, je me demande souvent à quoi ressemble une session de pentesting. Où travaillez-vous ? Est-ce quelque chose que vous faites aussi pendant votre temps libre depuis votre canapé ? Ou êtes-vous assis dans un bureau ?
Pendant la journée, je travaille en tant que codeur créatif numérique pour une station de radio appelée Studio Brussel. Cela implique de la programmation et des réseaux sociaux, mais aucune sécurité. J'essaie de ne pas mélanger mon hobby avec mon travail professionnel. Je crains de perdre ma créativité si je le faisais. Je ne pirate pas souvent : au maximum quelques heures par semaine. Cela peut être à table, sur le canapé ou sur mon lit, selon ce qui est confortable à ce moment-là.
Comment commencez-vous ? Avez-vous un aide-mémoire ? Avez-vous des entrées à tester pour savoir si la validation des entrées est suffisante ou si la sortie s'échappe ?
Je suis vraiment chaotique, donc je n'ai pas vraiment de liste de contrôle, je me fie à mon intuition. La plupart du temps, je commence par ce que l'on appelle la reconnaissance : répertorier toutes les informations intéressantes sur les cibles, les sous-domaines, les adresses IP, tout ce que je peux trouver. J'essaie d'avoir une vue d'ensemble et de comprendre la logique métier avant même de commencer à pirater. Si vous ne recherchez que les vulnérabilités standard des manuels, vous passerez à côté de la plupart des failles les plus intelligentes et les plus complexes. En ce qui concerne la saisie, j'essaie de couvrir autant de vulnérabilités que possible dans une seule charge utile. Chaque fois que je découvre quelque chose d'intéressant, je m'y amuse pendant un moment et je lui lance plein de bêtises, juste pour voir comment le système réagit. Les meilleurs bugs se trouvent souvent dans les parties les plus reculées d'une application Web. J'essaie donc d'aller le plus loin possible.
Selon vous, qu'est-ce qui fait un bon pentester ? Y a-t-il des astuces que vous pourriez nous partager ?
Je ne suis pas un pentester, donc je ne peux pas vraiment parler pour les pentesters en général, mais je pense que la motivation et la persévérance sont les atouts les plus importants. La plupart des utilisateurs n'envisageront même pas de rechercher des failles de sécurité dans Google, car l'entreprise dispose des meilleurs ingénieurs du monde, mais l'entreprise verse des millions de primes de bogue chaque année. Je travaille sur une cible depuis plus de 2 ans et je commence maintenant à trouver des bugs vraiment intéressants. Cela prend du temps. Le problème des pentests normaux est que les testeurs reçoivent une récompense d'un montant fixe, qu'ils découvrent des vulnérabilités critiques ou non. Je crois qu'il reste encore beaucoup de bugs sur Facebook, il suffit de quelqu'un qui soit prêt à creuser suffisamment.
Lorsque vous avez pris conscience de l'ampleur du Ticket Trick, quelle a été votre première pensée ?
J'ai eu des sentiments mitigés. Je me suis sentie émerveillée et j'ai tout de suite pensé aux primes d'insectes que je pourrais collecter avec elle, mais d'un autre côté, j'ai été choquée que cela soit possible. Chaque fois que vous trouvez quelque chose comme ça, vous possédez soudainement de nombreuses informations précieuses qui intéresseraient vivement les parties malveillantes. Le processus de divulgation est difficile : vous devez informer autant d'entreprises concernées que possible, mais d'un autre côté, vous devez vous assurer que les informations ne sont pas divulguées ou utilisées de manière abusive.
Pourquoi avez-vous décidé de publier l'information avant de collecter d'autres primes ?
Il est plus important de faire le bon choix que de collecter des primes. Je pense que j'ai eu ma juste part et je veux maintenant redonner à la communauté. De plus, cela fait des mois que j'informe les entreprises à ce sujet, donc de plus en plus de personnes le savaient. Je ne voulais pas qu'il soit divulgué ou abusé par quelqu'un de mal intentionné.
Qu'avez-vous pensé des réponses des entreprises concernées ?
La plupart des réponses étaient satisfaisantes. Certaines entreprises ne s'en souciaient pas vraiment, mais en fin de compte, c'est leur perte. Être rejeté en tant que chercheur en sécurité fait partie du jeu. Au moins, je n'ai pas eu de procès. Il y a 10 ans, cela aurait probablement été le cas.
Une dernière question, sur Reddit, j'ai lu que vous aviez réclamé 8 000$ en bug bounties. Avez-vous des plans intéressants pour dépenser cet argent ?
Au total, j'ai obtenu plus de 20 000$ grâce à ce bogue. Plus de la moitié de cette somme est consacrée aux impôts. Je passe le reste à des choses normales comme les voyages, les sorties dîner,... rien de fou. :-)
Merci beaucoup pour le temps que vous m'avez accordé et bonne chance à la chasse à l'avenir !
Le bug existe toujours. Ce n'est pas quelque chose qui peut être réglé immédiatement. Au cours des derniers mois, j'ai contacté des dizaines d'entreprises et de fournisseurs concernés dans le cadre de leurs programmes de bug bounty afin de corriger leur configuration.
Plus tôt ce mois-ci, le chasseur de bugs belge, Inti De Ceukelaire a révélé un hack créatif qui touche des centaines d'entreprises. L'astuce consiste à exploiter les défauts logique métier dans les services d'assistance les plus populaires et les outils de suivi des problèmes pour accéder à des intranets, à des comptes de réseaux sociaux ou, le plus souvent, à des équipes Yammer et Slack. Vous pouvez lire les détails sur Le propre billet de blog d'Inti. J'ai été impressionnée par la créativité nécessaire pour réaliser cet exploit et curieuse de connaître le processus impliqué. J'ai donc décidé de poser quelques questions à Inti, et je partage ses réponses avec vous.
Bonjour Inti, peux-tu te présenter brièvement à nos lecteurs ?
Je suis Inti, chasseuse d'insectes chez Intigriti et Hackerone. J'habite à Alost (Belgique) et je passe mes journées à casser des objets.
La semaine dernière, j'ai lu votre article de blog sur ce que vous avez depuis appelé « Ticket Trick » et j'ai été impressionné par la créativité dont vous avez fait preuve pour trouver cet exploit. Comment vous est venue l'idée d'essayer cette astuce ?
Je participe à des programmes de bug bounty, ce qui signifie que certains sites Web offrent de l'argent à des chercheurs en sécurité responsables qui découvrent des vulnérabilités uniques. Comme il y a beaucoup de concurrence, vous devez continuer à chercher des choses que d'autres n'ont pas encore trouvées. J'ai trouvé que Slack était un vecteur d'attaque intéressant car il contient souvent des informations sensibles et ne nécessite parfois qu'une adresse e-mail professionnelle valide. J'ai donc pris une bière, je me suis allongée sur le canapé et j'ai commencé à réfléchir à tous les vecteurs d'attaque possibles. Soudain, j'ai eu cette idée folle et il s'est avéré que cela a fonctionné. J'essaie généralement tout ce qui me passe par la tête. Même si cela ne fonctionne que quelques fois, c'est payant. ;-)
En tant que personne qui travaille généralement de l'autre côté, en essayant de sécuriser le code, je me demande souvent à quoi ressemble une session de pentesting. Où travaillez-vous ? Est-ce quelque chose que vous faites aussi pendant votre temps libre depuis votre canapé ? Ou êtes-vous assis dans un bureau ?
Pendant la journée, je travaille en tant que codeur créatif numérique pour une station de radio appelée Studio Brussel. Cela implique de la programmation et des réseaux sociaux, mais aucune sécurité. J'essaie de ne pas mélanger mon hobby avec mon travail professionnel. Je crains de perdre ma créativité si je le faisais. Je ne pirate pas souvent : au maximum quelques heures par semaine. Cela peut être à table, sur le canapé ou sur mon lit, selon ce qui est confortable à ce moment-là.
Comment commencez-vous ? Avez-vous un aide-mémoire ? Avez-vous des entrées à tester pour savoir si la validation des entrées est suffisante ou si la sortie s'échappe ?
Je suis vraiment chaotique, donc je n'ai pas vraiment de liste de contrôle, je me fie à mon intuition. La plupart du temps, je commence par ce que l'on appelle la reconnaissance : répertorier toutes les informations intéressantes sur les cibles, les sous-domaines, les adresses IP, tout ce que je peux trouver. J'essaie d'avoir une vue d'ensemble et de comprendre la logique métier avant même de commencer à pirater. Si vous ne recherchez que les vulnérabilités standard des manuels, vous passerez à côté de la plupart des failles les plus intelligentes et les plus complexes. En ce qui concerne la saisie, j'essaie de couvrir autant de vulnérabilités que possible dans une seule charge utile. Chaque fois que je découvre quelque chose d'intéressant, je m'y amuse pendant un moment et je lui lance plein de bêtises, juste pour voir comment le système réagit. Les meilleurs bugs se trouvent souvent dans les parties les plus reculées d'une application Web. J'essaie donc d'aller le plus loin possible.
Selon vous, qu'est-ce qui fait un bon pentester ? Y a-t-il des astuces que vous pourriez nous partager ?
Je ne suis pas un pentester, donc je ne peux pas vraiment parler pour les pentesters en général, mais je pense que la motivation et la persévérance sont les atouts les plus importants. La plupart des utilisateurs n'envisageront même pas de rechercher des failles de sécurité dans Google, car l'entreprise dispose des meilleurs ingénieurs du monde, mais l'entreprise verse des millions de primes de bogue chaque année. Je travaille sur une cible depuis plus de 2 ans et je commence maintenant à trouver des bugs vraiment intéressants. Cela prend du temps. Le problème des pentests normaux est que les testeurs reçoivent une récompense d'un montant fixe, qu'ils découvrent des vulnérabilités critiques ou non. Je crois qu'il reste encore beaucoup de bugs sur Facebook, il suffit de quelqu'un qui soit prêt à creuser suffisamment.
Lorsque vous avez pris conscience de l'ampleur du Ticket Trick, quelle a été votre première pensée ?
J'ai eu des sentiments mitigés. Je me suis sentie émerveillée et j'ai tout de suite pensé aux primes d'insectes que je pourrais collecter avec elle, mais d'un autre côté, j'ai été choquée que cela soit possible. Chaque fois que vous trouvez quelque chose comme ça, vous possédez soudainement de nombreuses informations précieuses qui intéresseraient vivement les parties malveillantes. Le processus de divulgation est difficile : vous devez informer autant d'entreprises concernées que possible, mais d'un autre côté, vous devez vous assurer que les informations ne sont pas divulguées ou utilisées de manière abusive.
Pourquoi avez-vous décidé de publier l'information avant de collecter d'autres primes ?
Il est plus important de faire le bon choix que de collecter des primes. Je pense que j'ai eu ma juste part et je veux maintenant redonner à la communauté. De plus, cela fait des mois que j'informe les entreprises à ce sujet, donc de plus en plus de personnes le savaient. Je ne voulais pas qu'il soit divulgué ou abusé par quelqu'un de mal intentionné.
Qu'avez-vous pensé des réponses des entreprises concernées ?
La plupart des réponses étaient satisfaisantes. Certaines entreprises ne s'en souciaient pas vraiment, mais en fin de compte, c'est leur perte. Être rejeté en tant que chercheur en sécurité fait partie du jeu. Au moins, je n'ai pas eu de procès. Il y a 10 ans, cela aurait probablement été le cas.
Une dernière question, sur Reddit, j'ai lu que vous aviez réclamé 8 000$ en bug bounties. Avez-vous des plans intéressants pour dépenser cet argent ?
Au total, j'ai obtenu plus de 20 000$ grâce à ce bogue. Plus de la moitié de cette somme est consacrée aux impôts. Je passe le reste à des choses normales comme les voyages, les sorties dîner,... rien de fou. :-)
Merci beaucoup pour le temps que vous m'avez accordé et bonne chance à la chasse à l'avenir !
Le bug existe toujours. Ce n'est pas quelque chose qui peut être réglé immédiatement. Au cours des derniers mois, j'ai contacté des dizaines d'entreprises et de fournisseurs concernés dans le cadre de leurs programmes de bug bounty afin de corriger leur configuration.
Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Afficher le rapportRéservez une démo
Chercheur en sécurité des applications - Ingénieur R&D - Candidat au doctorat
Plus tôt ce mois-ci, le chasseur de bugs belge, Inti De Ceukelaire a révélé un hack créatif qui touche des centaines d'entreprises. L'astuce consiste à exploiter les défauts logique métier dans les services d'assistance les plus populaires et les outils de suivi des problèmes pour accéder à des intranets, à des comptes de réseaux sociaux ou, le plus souvent, à des équipes Yammer et Slack. Vous pouvez lire les détails sur Le propre billet de blog d'Inti. J'ai été impressionnée par la créativité nécessaire pour réaliser cet exploit et curieuse de connaître le processus impliqué. J'ai donc décidé de poser quelques questions à Inti, et je partage ses réponses avec vous.
Bonjour Inti, peux-tu te présenter brièvement à nos lecteurs ?
Je suis Inti, chasseuse d'insectes chez Intigriti et Hackerone. J'habite à Alost (Belgique) et je passe mes journées à casser des objets.
La semaine dernière, j'ai lu votre article de blog sur ce que vous avez depuis appelé « Ticket Trick » et j'ai été impressionné par la créativité dont vous avez fait preuve pour trouver cet exploit. Comment vous est venue l'idée d'essayer cette astuce ?
Je participe à des programmes de bug bounty, ce qui signifie que certains sites Web offrent de l'argent à des chercheurs en sécurité responsables qui découvrent des vulnérabilités uniques. Comme il y a beaucoup de concurrence, vous devez continuer à chercher des choses que d'autres n'ont pas encore trouvées. J'ai trouvé que Slack était un vecteur d'attaque intéressant car il contient souvent des informations sensibles et ne nécessite parfois qu'une adresse e-mail professionnelle valide. J'ai donc pris une bière, je me suis allongée sur le canapé et j'ai commencé à réfléchir à tous les vecteurs d'attaque possibles. Soudain, j'ai eu cette idée folle et il s'est avéré que cela a fonctionné. J'essaie généralement tout ce qui me passe par la tête. Même si cela ne fonctionne que quelques fois, c'est payant. ;-)
En tant que personne qui travaille généralement de l'autre côté, en essayant de sécuriser le code, je me demande souvent à quoi ressemble une session de pentesting. Où travaillez-vous ? Est-ce quelque chose que vous faites aussi pendant votre temps libre depuis votre canapé ? Ou êtes-vous assis dans un bureau ?
Pendant la journée, je travaille en tant que codeur créatif numérique pour une station de radio appelée Studio Brussel. Cela implique de la programmation et des réseaux sociaux, mais aucune sécurité. J'essaie de ne pas mélanger mon hobby avec mon travail professionnel. Je crains de perdre ma créativité si je le faisais. Je ne pirate pas souvent : au maximum quelques heures par semaine. Cela peut être à table, sur le canapé ou sur mon lit, selon ce qui est confortable à ce moment-là.
Comment commencez-vous ? Avez-vous un aide-mémoire ? Avez-vous des entrées à tester pour savoir si la validation des entrées est suffisante ou si la sortie s'échappe ?
Je suis vraiment chaotique, donc je n'ai pas vraiment de liste de contrôle, je me fie à mon intuition. La plupart du temps, je commence par ce que l'on appelle la reconnaissance : répertorier toutes les informations intéressantes sur les cibles, les sous-domaines, les adresses IP, tout ce que je peux trouver. J'essaie d'avoir une vue d'ensemble et de comprendre la logique métier avant même de commencer à pirater. Si vous ne recherchez que les vulnérabilités standard des manuels, vous passerez à côté de la plupart des failles les plus intelligentes et les plus complexes. En ce qui concerne la saisie, j'essaie de couvrir autant de vulnérabilités que possible dans une seule charge utile. Chaque fois que je découvre quelque chose d'intéressant, je m'y amuse pendant un moment et je lui lance plein de bêtises, juste pour voir comment le système réagit. Les meilleurs bugs se trouvent souvent dans les parties les plus reculées d'une application Web. J'essaie donc d'aller le plus loin possible.
Selon vous, qu'est-ce qui fait un bon pentester ? Y a-t-il des astuces que vous pourriez nous partager ?
Je ne suis pas un pentester, donc je ne peux pas vraiment parler pour les pentesters en général, mais je pense que la motivation et la persévérance sont les atouts les plus importants. La plupart des utilisateurs n'envisageront même pas de rechercher des failles de sécurité dans Google, car l'entreprise dispose des meilleurs ingénieurs du monde, mais l'entreprise verse des millions de primes de bogue chaque année. Je travaille sur une cible depuis plus de 2 ans et je commence maintenant à trouver des bugs vraiment intéressants. Cela prend du temps. Le problème des pentests normaux est que les testeurs reçoivent une récompense d'un montant fixe, qu'ils découvrent des vulnérabilités critiques ou non. Je crois qu'il reste encore beaucoup de bugs sur Facebook, il suffit de quelqu'un qui soit prêt à creuser suffisamment.
Lorsque vous avez pris conscience de l'ampleur du Ticket Trick, quelle a été votre première pensée ?
J'ai eu des sentiments mitigés. Je me suis sentie émerveillée et j'ai tout de suite pensé aux primes d'insectes que je pourrais collecter avec elle, mais d'un autre côté, j'ai été choquée que cela soit possible. Chaque fois que vous trouvez quelque chose comme ça, vous possédez soudainement de nombreuses informations précieuses qui intéresseraient vivement les parties malveillantes. Le processus de divulgation est difficile : vous devez informer autant d'entreprises concernées que possible, mais d'un autre côté, vous devez vous assurer que les informations ne sont pas divulguées ou utilisées de manière abusive.
Pourquoi avez-vous décidé de publier l'information avant de collecter d'autres primes ?
Il est plus important de faire le bon choix que de collecter des primes. Je pense que j'ai eu ma juste part et je veux maintenant redonner à la communauté. De plus, cela fait des mois que j'informe les entreprises à ce sujet, donc de plus en plus de personnes le savaient. Je ne voulais pas qu'il soit divulgué ou abusé par quelqu'un de mal intentionné.
Qu'avez-vous pensé des réponses des entreprises concernées ?
La plupart des réponses étaient satisfaisantes. Certaines entreprises ne s'en souciaient pas vraiment, mais en fin de compte, c'est leur perte. Être rejeté en tant que chercheur en sécurité fait partie du jeu. Au moins, je n'ai pas eu de procès. Il y a 10 ans, cela aurait probablement été le cas.
Une dernière question, sur Reddit, j'ai lu que vous aviez réclamé 8 000$ en bug bounties. Avez-vous des plans intéressants pour dépenser cet argent ?
Au total, j'ai obtenu plus de 20 000$ grâce à ce bogue. Plus de la moitié de cette somme est consacrée aux impôts. Je passe le reste à des choses normales comme les voyages, les sorties dîner,... rien de fou. :-)
Merci beaucoup pour le temps que vous m'avez accordé et bonne chance à la chasse à l'avenir !
Le bug existe toujours. Ce n'est pas quelque chose qui peut être réglé immédiatement. Au cours des derniers mois, j'ai contacté des dizaines d'entreprises et de fournisseurs concernés dans le cadre de leurs programmes de bug bounty afin de corriger leur configuration.
Table des matières
Chercheur en sécurité des applications - Ingénieur R&D - Candidat au doctorat
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démoTéléchargerRessources pour vous aider à démarrer
Sujets et contenus de formation sur le code sécurisé
Notre contenu de pointe évolue constamment pour s'adapter à l'évolution constante du paysage du développement de logiciels tout en tenant compte de votre rôle. Des sujets couvrant tout, de l'IA à l'injection XQuery, proposés pour une variété de postes, allant des architectes aux ingénieurs en passant par les chefs de produit et l'assurance qualité. Découvrez un aperçu de ce que notre catalogue de contenu a à offrir par sujet et par rôle.
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
Ressources pour vous aider à démarrer
Cybermon est de retour : les missions d'IA Beat the Boss sont désormais disponibles à la demande
Cybermon 2025 Beat the Boss est désormais disponible toute l'année dans SCW. Déployez des défis de sécurité avancés liés à l'IA et au LLM pour renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyberrésilience : ce que cela signifie pour le développement de logiciels sécurisés dès la conception
Découvrez ce que la loi européenne sur la cyberrésilience (CRA) exige, à qui elle s'applique et comment les équipes d'ingénieurs peuvent se préparer grâce à des pratiques de sécurité dès la conception, à la prévention des vulnérabilités et au renforcement des capacités des développeurs.
Facilitateur 1 : Critères de réussite définis et mesurables
Enabler 1 donne le coup d'envoi de notre série en 10 parties intitulée Enablers of Success en montrant comment associer le codage sécurisé à des résultats commerciaux tels que la réduction des risques et la rapidité pour assurer la maturité à long terme des programmes.
