Bonjour de l'autre côté. Entretien avec un chasseur de bugs.
Plus tôt ce mois-ci, le chasseur de bugs belge, Inti De Ceukelaire a révélé un hack créatif qui touche des centaines d'entreprises. L'astuce consiste à exploiter les défauts logique métier dans les services d'assistance les plus populaires et les outils de suivi des problèmes pour accéder à des intranets, à des comptes de réseaux sociaux ou, le plus souvent, à des équipes Yammer et Slack. Vous pouvez lire les détails sur Le propre billet de blog d'Inti. J'ai été impressionnée par la créativité nécessaire pour réaliser cet exploit et curieuse de connaître le processus impliqué. J'ai donc décidé de poser quelques questions à Inti, et je partage ses réponses avec vous.
Bonjour Inti, peux-tu te présenter brièvement à nos lecteurs ?
Je suis Inti, chasseuse d'insectes chez Intigriti et Hackerone. J'habite à Alost (Belgique) et je passe mes journées à casser des objets.
La semaine dernière, j'ai lu votre article de blog sur ce que vous avez depuis appelé « Ticket Trick » et j'ai été impressionné par la créativité dont vous avez fait preuve pour trouver cet exploit. Comment vous est venue l'idée d'essayer cette astuce ?
Je participe à des programmes de bug bounty, ce qui signifie que certains sites Web offrent de l'argent à des chercheurs en sécurité responsables qui découvrent des vulnérabilités uniques. Comme il y a beaucoup de concurrence, vous devez continuer à chercher des choses que d'autres n'ont pas encore trouvées. J'ai trouvé que Slack était un vecteur d'attaque intéressant car il contient souvent des informations sensibles et ne nécessite parfois qu'une adresse e-mail professionnelle valide. J'ai donc pris une bière, je me suis allongée sur le canapé et j'ai commencé à réfléchir à tous les vecteurs d'attaque possibles. Soudain, j'ai eu cette idée folle et il s'est avéré que cela a fonctionné. J'essaie généralement tout ce qui me passe par la tête. Même si cela ne fonctionne que quelques fois, c'est payant. ;-)
En tant que personne qui travaille généralement de l'autre côté, en essayant de sécuriser le code, je me demande souvent à quoi ressemble une session de pentesting. Où travaillez-vous ? Est-ce quelque chose que vous faites aussi pendant votre temps libre depuis votre canapé ? Ou êtes-vous assis dans un bureau ?
Pendant la journée, je travaille en tant que codeur créatif numérique pour une station de radio appelée Studio Brussel. Cela implique de la programmation et des réseaux sociaux, mais aucune sécurité. J'essaie de ne pas mélanger mon hobby avec mon travail professionnel. Je crains de perdre ma créativité si je le faisais. Je ne pirate pas souvent : au maximum quelques heures par semaine. Cela peut être à table, sur le canapé ou sur mon lit, selon ce qui est confortable à ce moment-là.
Comment commencez-vous ? Avez-vous un aide-mémoire ? Avez-vous des entrées à tester pour savoir si la validation des entrées est suffisante ou si la sortie s'échappe ?
Je suis vraiment chaotique, donc je n'ai pas vraiment de liste de contrôle, je me fie à mon intuition. La plupart du temps, je commence par ce que l'on appelle la reconnaissance : répertorier toutes les informations intéressantes sur les cibles, les sous-domaines, les adresses IP, tout ce que je peux trouver. J'essaie d'avoir une vue d'ensemble et de comprendre la logique métier avant même de commencer à pirater. Si vous ne recherchez que les vulnérabilités standard des manuels, vous passerez à côté de la plupart des failles les plus intelligentes et les plus complexes. En ce qui concerne la saisie, j'essaie de couvrir autant de vulnérabilités que possible dans une seule charge utile. Chaque fois que je découvre quelque chose d'intéressant, je m'y amuse pendant un moment et je lui lance plein de bêtises, juste pour voir comment le système réagit. Les meilleurs bugs se trouvent souvent dans les parties les plus reculées d'une application Web. J'essaie donc d'aller le plus loin possible.
Selon vous, qu'est-ce qui fait un bon pentester ? Y a-t-il des astuces que vous pourriez nous partager ?
Je ne suis pas un pentester, donc je ne peux pas vraiment parler pour les pentesters en général, mais je pense que la motivation et la persévérance sont les atouts les plus importants. La plupart des utilisateurs n'envisageront même pas de rechercher des failles de sécurité dans Google, car l'entreprise dispose des meilleurs ingénieurs du monde, mais l'entreprise verse des millions de primes de bogue chaque année. Je travaille sur une cible depuis plus de 2 ans et je commence maintenant à trouver des bugs vraiment intéressants. Cela prend du temps. Le problème des pentests normaux est que les testeurs reçoivent une récompense d'un montant fixe, qu'ils découvrent des vulnérabilités critiques ou non. Je crois qu'il reste encore beaucoup de bugs sur Facebook, il suffit de quelqu'un qui soit prêt à creuser suffisamment.
Lorsque vous avez pris conscience de l'ampleur du Ticket Trick, quelle a été votre première pensée ?
J'ai eu des sentiments mitigés. Je me suis sentie émerveillée et j'ai tout de suite pensé aux primes d'insectes que je pourrais collecter avec elle, mais d'un autre côté, j'ai été choquée que cela soit possible. Chaque fois que vous trouvez quelque chose comme ça, vous possédez soudainement de nombreuses informations précieuses qui intéresseraient vivement les parties malveillantes. Le processus de divulgation est difficile : vous devez informer autant d'entreprises concernées que possible, mais d'un autre côté, vous devez vous assurer que les informations ne sont pas divulguées ou utilisées de manière abusive.
Pourquoi avez-vous décidé de publier l'information avant de collecter d'autres primes ?
Il est plus important de faire le bon choix que de collecter des primes. Je pense que j'ai eu ma juste part et je veux maintenant redonner à la communauté. De plus, cela fait des mois que j'informe les entreprises à ce sujet, donc de plus en plus de personnes le savaient. Je ne voulais pas qu'il soit divulgué ou abusé par quelqu'un de mal intentionné.
Qu'avez-vous pensé des réponses des entreprises concernées ?
La plupart des réponses étaient satisfaisantes. Certaines entreprises ne s'en souciaient pas vraiment, mais en fin de compte, c'est leur perte. Être rejeté en tant que chercheur en sécurité fait partie du jeu. Au moins, je n'ai pas eu de procès. Il y a 10 ans, cela aurait probablement été le cas.
Une dernière question, sur Reddit, j'ai lu que vous aviez réclamé 8 000$ en bug bounties. Avez-vous des plans intéressants pour dépenser cet argent ?
Au total, j'ai obtenu plus de 20 000$ grâce à ce bogue. Plus de la moitié de cette somme est consacrée aux impôts. Je passe le reste à des choses normales comme les voyages, les sorties dîner,... rien de fou. :-)
Merci beaucoup pour le temps que vous m'avez accordé et bonne chance à la chasse à l'avenir !
Le bug existe toujours. Ce n'est pas quelque chose qui peut être réglé immédiatement. Au cours des derniers mois, j'ai contacté des dizaines d'entreprises et de fournisseurs concernés dans le cadre de leurs programmes de bug bounty afin de corriger leur configuration.
Le bug existe toujours. Ce n'est pas quelque chose qui peut être réglé immédiatement. Au cours des derniers mois, j'ai contacté des dizaines d'entreprises et de fournisseurs concernés dans le cadre de leurs programmes de bug bounty afin de corriger leur configuration.
Chercheur en sécurité des applications - Ingénieur R&D - Candidat au doctorat
Secure Code Warrior aquí para ayudar a su organización a proteger el código a lo largo de todo el ciclo de desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de la seguridad de las aplicaciones, desarrollador, responsable de la seguridad informática o cualquier otra persona involucrada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código no seguro.
Reserve una demostración
Chercheur en sécurité des applications - Ingénieur R&D - Candidat au doctorat
Plus tôt ce mois-ci, le chasseur de bugs belge, Inti De Ceukelaire a révélé un hack créatif qui touche des centaines d'entreprises. L'astuce consiste à exploiter les défauts logique métier dans les services d'assistance les plus populaires et les outils de suivi des problèmes pour accéder à des intranets, à des comptes de réseaux sociaux ou, le plus souvent, à des équipes Yammer et Slack. Vous pouvez lire les détails sur Le propre billet de blog d'Inti. J'ai été impressionnée par la créativité nécessaire pour réaliser cet exploit et curieuse de connaître le processus impliqué. J'ai donc décidé de poser quelques questions à Inti, et je partage ses réponses avec vous.
Bonjour Inti, peux-tu te présenter brièvement à nos lecteurs ?
Je suis Inti, chasseuse d'insectes chez Intigriti et Hackerone. J'habite à Alost (Belgique) et je passe mes journées à casser des objets.
La semaine dernière, j'ai lu votre article de blog sur ce que vous avez depuis appelé « Ticket Trick » et j'ai été impressionné par la créativité dont vous avez fait preuve pour trouver cet exploit. Comment vous est venue l'idée d'essayer cette astuce ?
Je participe à des programmes de bug bounty, ce qui signifie que certains sites Web offrent de l'argent à des chercheurs en sécurité responsables qui découvrent des vulnérabilités uniques. Comme il y a beaucoup de concurrence, vous devez continuer à chercher des choses que d'autres n'ont pas encore trouvées. J'ai trouvé que Slack était un vecteur d'attaque intéressant car il contient souvent des informations sensibles et ne nécessite parfois qu'une adresse e-mail professionnelle valide. J'ai donc pris une bière, je me suis allongée sur le canapé et j'ai commencé à réfléchir à tous les vecteurs d'attaque possibles. Soudain, j'ai eu cette idée folle et il s'est avéré que cela a fonctionné. J'essaie généralement tout ce qui me passe par la tête. Même si cela ne fonctionne que quelques fois, c'est payant. ;-)
En tant que personne qui travaille généralement de l'autre côté, en essayant de sécuriser le code, je me demande souvent à quoi ressemble une session de pentesting. Où travaillez-vous ? Est-ce quelque chose que vous faites aussi pendant votre temps libre depuis votre canapé ? Ou êtes-vous assis dans un bureau ?
Pendant la journée, je travaille en tant que codeur créatif numérique pour une station de radio appelée Studio Brussel. Cela implique de la programmation et des réseaux sociaux, mais aucune sécurité. J'essaie de ne pas mélanger mon hobby avec mon travail professionnel. Je crains de perdre ma créativité si je le faisais. Je ne pirate pas souvent : au maximum quelques heures par semaine. Cela peut être à table, sur le canapé ou sur mon lit, selon ce qui est confortable à ce moment-là.
Comment commencez-vous ? Avez-vous un aide-mémoire ? Avez-vous des entrées à tester pour savoir si la validation des entrées est suffisante ou si la sortie s'échappe ?
Je suis vraiment chaotique, donc je n'ai pas vraiment de liste de contrôle, je me fie à mon intuition. La plupart du temps, je commence par ce que l'on appelle la reconnaissance : répertorier toutes les informations intéressantes sur les cibles, les sous-domaines, les adresses IP, tout ce que je peux trouver. J'essaie d'avoir une vue d'ensemble et de comprendre la logique métier avant même de commencer à pirater. Si vous ne recherchez que les vulnérabilités standard des manuels, vous passerez à côté de la plupart des failles les plus intelligentes et les plus complexes. En ce qui concerne la saisie, j'essaie de couvrir autant de vulnérabilités que possible dans une seule charge utile. Chaque fois que je découvre quelque chose d'intéressant, je m'y amuse pendant un moment et je lui lance plein de bêtises, juste pour voir comment le système réagit. Les meilleurs bugs se trouvent souvent dans les parties les plus reculées d'une application Web. J'essaie donc d'aller le plus loin possible.
Selon vous, qu'est-ce qui fait un bon pentester ? Y a-t-il des astuces que vous pourriez nous partager ?
Je ne suis pas un pentester, donc je ne peux pas vraiment parler pour les pentesters en général, mais je pense que la motivation et la persévérance sont les atouts les plus importants. La plupart des utilisateurs n'envisageront même pas de rechercher des failles de sécurité dans Google, car l'entreprise dispose des meilleurs ingénieurs du monde, mais l'entreprise verse des millions de primes de bogue chaque année. Je travaille sur une cible depuis plus de 2 ans et je commence maintenant à trouver des bugs vraiment intéressants. Cela prend du temps. Le problème des pentests normaux est que les testeurs reçoivent une récompense d'un montant fixe, qu'ils découvrent des vulnérabilités critiques ou non. Je crois qu'il reste encore beaucoup de bugs sur Facebook, il suffit de quelqu'un qui soit prêt à creuser suffisamment.
Lorsque vous avez pris conscience de l'ampleur du Ticket Trick, quelle a été votre première pensée ?
J'ai eu des sentiments mitigés. Je me suis sentie émerveillée et j'ai tout de suite pensé aux primes d'insectes que je pourrais collecter avec elle, mais d'un autre côté, j'ai été choquée que cela soit possible. Chaque fois que vous trouvez quelque chose comme ça, vous possédez soudainement de nombreuses informations précieuses qui intéresseraient vivement les parties malveillantes. Le processus de divulgation est difficile : vous devez informer autant d'entreprises concernées que possible, mais d'un autre côté, vous devez vous assurer que les informations ne sont pas divulguées ou utilisées de manière abusive.
Pourquoi avez-vous décidé de publier l'information avant de collecter d'autres primes ?
Il est plus important de faire le bon choix que de collecter des primes. Je pense que j'ai eu ma juste part et je veux maintenant redonner à la communauté. De plus, cela fait des mois que j'informe les entreprises à ce sujet, donc de plus en plus de personnes le savaient. Je ne voulais pas qu'il soit divulgué ou abusé par quelqu'un de mal intentionné.
Qu'avez-vous pensé des réponses des entreprises concernées ?
La plupart des réponses étaient satisfaisantes. Certaines entreprises ne s'en souciaient pas vraiment, mais en fin de compte, c'est leur perte. Être rejeté en tant que chercheur en sécurité fait partie du jeu. Au moins, je n'ai pas eu de procès. Il y a 10 ans, cela aurait probablement été le cas.
Une dernière question, sur Reddit, j'ai lu que vous aviez réclamé 8 000$ en bug bounties. Avez-vous des plans intéressants pour dépenser cet argent ?
Au total, j'ai obtenu plus de 20 000$ grâce à ce bogue. Plus de la moitié de cette somme est consacrée aux impôts. Je passe le reste à des choses normales comme les voyages, les sorties dîner,... rien de fou. :-)
Merci beaucoup pour le temps que vous m'avez accordé et bonne chance à la chasse à l'avenir !
Le bug existe toujours. Ce n'est pas quelque chose qui peut être réglé immédiatement. Au cours des derniers mois, j'ai contacté des dizaines d'entreprises et de fournisseurs concernés dans le cadre de leurs programmes de bug bounty afin de corriger leur configuration.
Plus tôt ce mois-ci, le chasseur de bugs belge, Inti De Ceukelaire a révélé un hack créatif qui touche des centaines d'entreprises. L'astuce consiste à exploiter les défauts logique métier dans les services d'assistance les plus populaires et les outils de suivi des problèmes pour accéder à des intranets, à des comptes de réseaux sociaux ou, le plus souvent, à des équipes Yammer et Slack. Vous pouvez lire les détails sur Le propre billet de blog d'Inti. J'ai été impressionnée par la créativité nécessaire pour réaliser cet exploit et curieuse de connaître le processus impliqué. J'ai donc décidé de poser quelques questions à Inti, et je partage ses réponses avec vous.
Bonjour Inti, peux-tu te présenter brièvement à nos lecteurs ?
Je suis Inti, chasseuse d'insectes chez Intigriti et Hackerone. J'habite à Alost (Belgique) et je passe mes journées à casser des objets.
La semaine dernière, j'ai lu votre article de blog sur ce que vous avez depuis appelé « Ticket Trick » et j'ai été impressionné par la créativité dont vous avez fait preuve pour trouver cet exploit. Comment vous est venue l'idée d'essayer cette astuce ?
Je participe à des programmes de bug bounty, ce qui signifie que certains sites Web offrent de l'argent à des chercheurs en sécurité responsables qui découvrent des vulnérabilités uniques. Comme il y a beaucoup de concurrence, vous devez continuer à chercher des choses que d'autres n'ont pas encore trouvées. J'ai trouvé que Slack était un vecteur d'attaque intéressant car il contient souvent des informations sensibles et ne nécessite parfois qu'une adresse e-mail professionnelle valide. J'ai donc pris une bière, je me suis allongée sur le canapé et j'ai commencé à réfléchir à tous les vecteurs d'attaque possibles. Soudain, j'ai eu cette idée folle et il s'est avéré que cela a fonctionné. J'essaie généralement tout ce qui me passe par la tête. Même si cela ne fonctionne que quelques fois, c'est payant. ;-)
En tant que personne qui travaille généralement de l'autre côté, en essayant de sécuriser le code, je me demande souvent à quoi ressemble une session de pentesting. Où travaillez-vous ? Est-ce quelque chose que vous faites aussi pendant votre temps libre depuis votre canapé ? Ou êtes-vous assis dans un bureau ?
Pendant la journée, je travaille en tant que codeur créatif numérique pour une station de radio appelée Studio Brussel. Cela implique de la programmation et des réseaux sociaux, mais aucune sécurité. J'essaie de ne pas mélanger mon hobby avec mon travail professionnel. Je crains de perdre ma créativité si je le faisais. Je ne pirate pas souvent : au maximum quelques heures par semaine. Cela peut être à table, sur le canapé ou sur mon lit, selon ce qui est confortable à ce moment-là.
Comment commencez-vous ? Avez-vous un aide-mémoire ? Avez-vous des entrées à tester pour savoir si la validation des entrées est suffisante ou si la sortie s'échappe ?
Je suis vraiment chaotique, donc je n'ai pas vraiment de liste de contrôle, je me fie à mon intuition. La plupart du temps, je commence par ce que l'on appelle la reconnaissance : répertorier toutes les informations intéressantes sur les cibles, les sous-domaines, les adresses IP, tout ce que je peux trouver. J'essaie d'avoir une vue d'ensemble et de comprendre la logique métier avant même de commencer à pirater. Si vous ne recherchez que les vulnérabilités standard des manuels, vous passerez à côté de la plupart des failles les plus intelligentes et les plus complexes. En ce qui concerne la saisie, j'essaie de couvrir autant de vulnérabilités que possible dans une seule charge utile. Chaque fois que je découvre quelque chose d'intéressant, je m'y amuse pendant un moment et je lui lance plein de bêtises, juste pour voir comment le système réagit. Les meilleurs bugs se trouvent souvent dans les parties les plus reculées d'une application Web. J'essaie donc d'aller le plus loin possible.
Selon vous, qu'est-ce qui fait un bon pentester ? Y a-t-il des astuces que vous pourriez nous partager ?
Je ne suis pas un pentester, donc je ne peux pas vraiment parler pour les pentesters en général, mais je pense que la motivation et la persévérance sont les atouts les plus importants. La plupart des utilisateurs n'envisageront même pas de rechercher des failles de sécurité dans Google, car l'entreprise dispose des meilleurs ingénieurs du monde, mais l'entreprise verse des millions de primes de bogue chaque année. Je travaille sur une cible depuis plus de 2 ans et je commence maintenant à trouver des bugs vraiment intéressants. Cela prend du temps. Le problème des pentests normaux est que les testeurs reçoivent une récompense d'un montant fixe, qu'ils découvrent des vulnérabilités critiques ou non. Je crois qu'il reste encore beaucoup de bugs sur Facebook, il suffit de quelqu'un qui soit prêt à creuser suffisamment.
Lorsque vous avez pris conscience de l'ampleur du Ticket Trick, quelle a été votre première pensée ?
J'ai eu des sentiments mitigés. Je me suis sentie émerveillée et j'ai tout de suite pensé aux primes d'insectes que je pourrais collecter avec elle, mais d'un autre côté, j'ai été choquée que cela soit possible. Chaque fois que vous trouvez quelque chose comme ça, vous possédez soudainement de nombreuses informations précieuses qui intéresseraient vivement les parties malveillantes. Le processus de divulgation est difficile : vous devez informer autant d'entreprises concernées que possible, mais d'un autre côté, vous devez vous assurer que les informations ne sont pas divulguées ou utilisées de manière abusive.
Pourquoi avez-vous décidé de publier l'information avant de collecter d'autres primes ?
Il est plus important de faire le bon choix que de collecter des primes. Je pense que j'ai eu ma juste part et je veux maintenant redonner à la communauté. De plus, cela fait des mois que j'informe les entreprises à ce sujet, donc de plus en plus de personnes le savaient. Je ne voulais pas qu'il soit divulgué ou abusé par quelqu'un de mal intentionné.
Qu'avez-vous pensé des réponses des entreprises concernées ?
La plupart des réponses étaient satisfaisantes. Certaines entreprises ne s'en souciaient pas vraiment, mais en fin de compte, c'est leur perte. Être rejeté en tant que chercheur en sécurité fait partie du jeu. Au moins, je n'ai pas eu de procès. Il y a 10 ans, cela aurait probablement été le cas.
Une dernière question, sur Reddit, j'ai lu que vous aviez réclamé 8 000$ en bug bounties. Avez-vous des plans intéressants pour dépenser cet argent ?
Au total, j'ai obtenu plus de 20 000$ grâce à ce bogue. Plus de la moitié de cette somme est consacrée aux impôts. Je passe le reste à des choses normales comme les voyages, les sorties dîner,... rien de fou. :-)
Merci beaucoup pour le temps que vous m'avez accordé et bonne chance à la chasse à l'avenir !
Le bug existe toujours. Ce n'est pas quelque chose qui peut être réglé immédiatement. Au cours des derniers mois, j'ai contacté des dizaines d'entreprises et de fournisseurs concernés dans le cadre de leurs programmes de bug bounty afin de corriger leur configuration.
Haga clic en el enlace siguiente y descargue el PDF de este recurso.
Secure Code Warrior aquí para ayudar a su organización a proteger el código a lo largo de todo el ciclo de desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de la seguridad de las aplicaciones, desarrollador, responsable de la seguridad informática o cualquier otra persona involucrada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código no seguro.
Mostrar el informeReserve una demostración
Chercheur en sécurité des applications - Ingénieur R&D - Candidat au doctorat
Plus tôt ce mois-ci, le chasseur de bugs belge, Inti De Ceukelaire a révélé un hack créatif qui touche des centaines d'entreprises. L'astuce consiste à exploiter les défauts logique métier dans les services d'assistance les plus populaires et les outils de suivi des problèmes pour accéder à des intranets, à des comptes de réseaux sociaux ou, le plus souvent, à des équipes Yammer et Slack. Vous pouvez lire les détails sur Le propre billet de blog d'Inti. J'ai été impressionnée par la créativité nécessaire pour réaliser cet exploit et curieuse de connaître le processus impliqué. J'ai donc décidé de poser quelques questions à Inti, et je partage ses réponses avec vous.
Bonjour Inti, peux-tu te présenter brièvement à nos lecteurs ?
Je suis Inti, chasseuse d'insectes chez Intigriti et Hackerone. J'habite à Alost (Belgique) et je passe mes journées à casser des objets.
La semaine dernière, j'ai lu votre article de blog sur ce que vous avez depuis appelé « Ticket Trick » et j'ai été impressionné par la créativité dont vous avez fait preuve pour trouver cet exploit. Comment vous est venue l'idée d'essayer cette astuce ?
Je participe à des programmes de bug bounty, ce qui signifie que certains sites Web offrent de l'argent à des chercheurs en sécurité responsables qui découvrent des vulnérabilités uniques. Comme il y a beaucoup de concurrence, vous devez continuer à chercher des choses que d'autres n'ont pas encore trouvées. J'ai trouvé que Slack était un vecteur d'attaque intéressant car il contient souvent des informations sensibles et ne nécessite parfois qu'une adresse e-mail professionnelle valide. J'ai donc pris une bière, je me suis allongée sur le canapé et j'ai commencé à réfléchir à tous les vecteurs d'attaque possibles. Soudain, j'ai eu cette idée folle et il s'est avéré que cela a fonctionné. J'essaie généralement tout ce qui me passe par la tête. Même si cela ne fonctionne que quelques fois, c'est payant. ;-)
En tant que personne qui travaille généralement de l'autre côté, en essayant de sécuriser le code, je me demande souvent à quoi ressemble une session de pentesting. Où travaillez-vous ? Est-ce quelque chose que vous faites aussi pendant votre temps libre depuis votre canapé ? Ou êtes-vous assis dans un bureau ?
Pendant la journée, je travaille en tant que codeur créatif numérique pour une station de radio appelée Studio Brussel. Cela implique de la programmation et des réseaux sociaux, mais aucune sécurité. J'essaie de ne pas mélanger mon hobby avec mon travail professionnel. Je crains de perdre ma créativité si je le faisais. Je ne pirate pas souvent : au maximum quelques heures par semaine. Cela peut être à table, sur le canapé ou sur mon lit, selon ce qui est confortable à ce moment-là.
Comment commencez-vous ? Avez-vous un aide-mémoire ? Avez-vous des entrées à tester pour savoir si la validation des entrées est suffisante ou si la sortie s'échappe ?
Je suis vraiment chaotique, donc je n'ai pas vraiment de liste de contrôle, je me fie à mon intuition. La plupart du temps, je commence par ce que l'on appelle la reconnaissance : répertorier toutes les informations intéressantes sur les cibles, les sous-domaines, les adresses IP, tout ce que je peux trouver. J'essaie d'avoir une vue d'ensemble et de comprendre la logique métier avant même de commencer à pirater. Si vous ne recherchez que les vulnérabilités standard des manuels, vous passerez à côté de la plupart des failles les plus intelligentes et les plus complexes. En ce qui concerne la saisie, j'essaie de couvrir autant de vulnérabilités que possible dans une seule charge utile. Chaque fois que je découvre quelque chose d'intéressant, je m'y amuse pendant un moment et je lui lance plein de bêtises, juste pour voir comment le système réagit. Les meilleurs bugs se trouvent souvent dans les parties les plus reculées d'une application Web. J'essaie donc d'aller le plus loin possible.
Selon vous, qu'est-ce qui fait un bon pentester ? Y a-t-il des astuces que vous pourriez nous partager ?
Je ne suis pas un pentester, donc je ne peux pas vraiment parler pour les pentesters en général, mais je pense que la motivation et la persévérance sont les atouts les plus importants. La plupart des utilisateurs n'envisageront même pas de rechercher des failles de sécurité dans Google, car l'entreprise dispose des meilleurs ingénieurs du monde, mais l'entreprise verse des millions de primes de bogue chaque année. Je travaille sur une cible depuis plus de 2 ans et je commence maintenant à trouver des bugs vraiment intéressants. Cela prend du temps. Le problème des pentests normaux est que les testeurs reçoivent une récompense d'un montant fixe, qu'ils découvrent des vulnérabilités critiques ou non. Je crois qu'il reste encore beaucoup de bugs sur Facebook, il suffit de quelqu'un qui soit prêt à creuser suffisamment.
Lorsque vous avez pris conscience de l'ampleur du Ticket Trick, quelle a été votre première pensée ?
J'ai eu des sentiments mitigés. Je me suis sentie émerveillée et j'ai tout de suite pensé aux primes d'insectes que je pourrais collecter avec elle, mais d'un autre côté, j'ai été choquée que cela soit possible. Chaque fois que vous trouvez quelque chose comme ça, vous possédez soudainement de nombreuses informations précieuses qui intéresseraient vivement les parties malveillantes. Le processus de divulgation est difficile : vous devez informer autant d'entreprises concernées que possible, mais d'un autre côté, vous devez vous assurer que les informations ne sont pas divulguées ou utilisées de manière abusive.
Pourquoi avez-vous décidé de publier l'information avant de collecter d'autres primes ?
Il est plus important de faire le bon choix que de collecter des primes. Je pense que j'ai eu ma juste part et je veux maintenant redonner à la communauté. De plus, cela fait des mois que j'informe les entreprises à ce sujet, donc de plus en plus de personnes le savaient. Je ne voulais pas qu'il soit divulgué ou abusé par quelqu'un de mal intentionné.
Qu'avez-vous pensé des réponses des entreprises concernées ?
La plupart des réponses étaient satisfaisantes. Certaines entreprises ne s'en souciaient pas vraiment, mais en fin de compte, c'est leur perte. Être rejeté en tant que chercheur en sécurité fait partie du jeu. Au moins, je n'ai pas eu de procès. Il y a 10 ans, cela aurait probablement été le cas.
Une dernière question, sur Reddit, j'ai lu que vous aviez réclamé 8 000$ en bug bounties. Avez-vous des plans intéressants pour dépenser cet argent ?
Au total, j'ai obtenu plus de 20 000$ grâce à ce bogue. Plus de la moitié de cette somme est consacrée aux impôts. Je passe le reste à des choses normales comme les voyages, les sorties dîner,... rien de fou. :-)
Merci beaucoup pour le temps que vous m'avez accordé et bonne chance à la chasse à l'avenir !
Le bug existe toujours. Ce n'est pas quelque chose qui peut être réglé immédiatement. Au cours des derniers mois, j'ai contacté des dizaines d'entreprises et de fournisseurs concernés dans le cadre de leurs programmes de bug bounty afin de corriger leur configuration.
Índice
Chercheur en sécurité des applications - Ingénieur R&D - Candidat au doctorat
Secure Code Warrior aquí para ayudar a su organización a proteger el código a lo largo de todo el ciclo de desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de la seguridad de las aplicaciones, desarrollador, responsable de la seguridad informática o cualquier otra persona involucrada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código no seguro.
Reserve una demostraciónDescargarRecursos para ayudarle a empezar
Temas y contenidos de formación sobre el código seguro
Nuestro contenido de vanguardia evoluciona constantemente para adaptarse al panorama en constante cambio del desarrollo de software, teniendo en cuenta su función. Temas que abarcan desde la IA hasta la inyección de XQuery, ofrecidos para una variedad de puestos, desde arquitectos hasta ingenieros, pasando por jefes de producto y control de calidad. Descubra una visión general de lo que nuestro catálogo de contenidos tiene para ofrecer por tema y por función.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para ayudarle a empezar
Cybermon está de vuelta: las missions Beat the Boss ya están disponibles bajo demanda.
Cybermon 2025 Beat the Boss ya está disponible todo el año en SCW. Implemente desafíos de seguridad avanzados relacionados con la IA y el LLM para reforzar el desarrollo seguro de la IA a gran escala.
Explicación de la ley sobre ciberresiliencia: lo que significa para el desarrollo de software seguro desde el diseño.
Descubra qué exige la ley europea sobre ciberresiliencia (CRA), a quién se aplica y cómo los equipos de ingenieros pueden prepararse mediante prácticas de seguridad desde el diseño, la prevención de vulnerabilidades y el refuerzo de las capacidades de los desarrolladores.
Facilitador 1: Criterios de éxito definidos y medibles
El facilitador 1 da inicio a nuestra serie de 10 partes titulada «Facilitadores del éxito», mostrando cómo combinar la codificación segura con resultados comerciales, como la reducción de riesgos y la rapidez, para garantizar la madurez a largo plazo de los programas.
