Il y a peu, notre expert cybersécurité / lead-auditor a été interviewé par les équipes de la plateforme de Bug Bounty YogoSha. Ce véritable passionné de cybersécurité est revenu sur son parcours, ses motivations et sources d’inspirations. Un jeu de questions-réponses auxquelles il s’est prêté sur leur Blog.
1. Bonjour Yann. Dis-nous un peu qui tu es et d’où te vient cette passion du hacking
Salut Elodie ! Pour moi, tout a commencé très tôt : lorsque j’avais 5 ans, mon père équipait notre foyer d’un ordinateur familial. Vers l’âge de 10 ans, j’ai commencé à m’intéresser à diverses techniques de compromission de machines. C’était l’époque glorieuse des « trojans »et autres RAT (Netbus, Subseven, backorifice…) : j’étais fasciné de voir qu’on pouvait prendre aussi facilement le contrôle de machines à distance.
Au collège, il m’arrivait de faire des « heures-sup’ » à réparer les PC de certains professeurs. Je me suis d’ailleurs vite rendu compte que le serveur principal n’était pas vraiment sécurisé, et laissait la porte ouverte à de nombreux actes malveillants : récupération de devoirs, contrôle des salles multimédias, visualisation des écrans des postes des enseignants (VNC like) à leur insu, obtention des notations…
Mais de nature plutôt sérieuse, j’ai remonté ces différentes brèches afin qu’ils renforcent le système. On était déjà dans du responsible disclosure à l’époque !
Après des études axées informatiques, j’ai continué à affûter mes connaissances en sécurité en autodidactie par passion, plaisir et perspective. Depuis, je me suis installé à Rennes, où je suis à la fois Bug Hunter sur diverses plateformes dont Yogosha, et lead-auditor chez SYNETIS, une entreprise dédiée à la cybersécurité. J’ai également la chance de sensibiliser les élèves de l’Ecole Polytechnique de l’Université de Nantes à la sécurité offensive. J’ai toujours été attiré par l’aspect pédagogique de la sécurité, et je pense qu’on ne peut pas enseigner la sécurité sans évoquer l’insécurité, les raisons des vulnérabilités, et apprendre à les comprendre et les manipuler.
2. Pourquoi aimes-tu le Bug Bounty ?
Le Bug Bounty véhicule des valeurs intrinsèques de la sécurité : la curiosité, l’envie de se dépasser, et le partage d’expertises. Il permet de concrétiser toutes ses connaissances. C’est très enrichissant d’apprendre de nouvelles techniques, de dompter des vulnérabilités via des « simulateurs » (plateformes de challenges, CTF, etc.), mais c’est bien plus passionnant et gratifiant de les mettre en application sur des vraies cibles de production, et de contribuer concrètement à améliorer l’existant.
Évidemment, la reconnaissance des clients est un point important (ainsi que les bounties ! :). Après, chacun a ses motivations. Lorsque Yogosha a lancé un programme bénévole pour Amnesty international, le manque de rémunération n’a pas empêché certains hunters, dont je faisais partie, de s’investir dans la mission.
Si l’on veut vraiment progresser dans ce milieu, rien de mieux que l’entraide au sein de la communauté. Chez Yogosha par exemple, on est une communauté restreinte, le contact est très facile entre nous, et l’équipe est super accessible, humaine, et à l’écoute.
Il y a aussi une tolérance et un respect lié au mérite très honorable dans le métier de Bug Hunter. Il faut être capable de réfléchir, d’analyser, d’aborder des problématiques techniques sur des systèmes sous un angle pas forcément académique pour en découvrir les faiblesses.
C’est pourquoi des profils atypiques, n’ayant pas suivi un cursus universitaire formaté, sont particulièrement intéressants. La sécurité informatique, et surtout le Bug Bounty, sont des milieux accessibles à tous.
Ce que j’apprécie particulièrement chez Yogosha, c’est le soutien de l’équipe. Déjà, on laisse leur chance aux nouveaux hunters, en n’ouvrant pas les programmes uniquement aux premiers du classement. Les rewards sont tout à fait honorables, on a toujours la possibilité de pouvoir justifier la criticité d’une vulnérabilité, et on peut compter sur l’équipe de Yogosha pour nous appuyer sur nos notations et scénarios d’attaques. Sur la plateforme, il y a également possibilité d’échanger avec le client, l’équipe et le hunter.
3. Quels programmes de Bug Bounty t’ont le plus marqué ?
On rencontre souvent des bugs surprenants, c’est ce qui fait la richesse de ce métier. Pour ma part, les bugs les plus atypiques que j’ai pu déceler, c’était dans des programmes de Yogosha.
Un jour, la cible à analyser était une simple adresse IP, pour une entreprise rattachée au secteur de l’Assurance . Au début, je pensais qu’il n’y avait pas grand-chose à se mettre sous la dent, jusqu’à ce que je remarque un service web exposé sur un port exotique.
En se connectant dessus, une page d’authentification d’une interface web demandait un login et un mot de passe pour accéder à un équipement AC22 Controller. Cet équipement était une carte électronique incrustée dans les murs des locaux, qui contrôlait l’accès aux portes physiques. Les employés devaient badger devant la porte pour entrer et sortir des locaux et des zones sécurisées.
Après avoir trouvé les identifiants laissés par défaut dans la documentation du constructeur, il était possible d’ouvrir les portes à distance, ou encore d’enfermer et séquestrer les gens dans les locaux.
Les caméras pouvaient également être contrôlées par le biais de cette interface. Parfois, les meilleurs bounty sont ceux auxquels on ne s’attend pas. A partir d’une adresse IP, on peut trouver des choses réellement surprenantes.
L’entreprise a alors tout intérêt à ce que nous, hunters, lui remontions les vulnérabilités et faiblesses avant qu’un assaillant malintentionné ne les exploite.
Toujours chez Yogosha, je me suis attaqué à un Bug Bounty sur un site web il y a quelques mois, avant de me rendre compte qu’il avait déjà été visité par un réel pirate. Cela faisait en effet plus de 4 ans que le site était infecté (backdoor ASP .Net, sous-espaces defaced, etc.). L’information a été aussitôt remontée aux équipes de sécurité, en leur expliquant que même si la brèche initiale utilisée (WebDAV) par les
[su_expand more_text=”Continuer de lire…” less_text=”Réduire” height=”100″ hide_less=”no” text_color=”#333333″ link_color=”#0088FF” link_style=”default” link_align=”left” more_icon=”” less_icon=”” class=””]
attaquants opportunistes avait été comblée, il restait lesbackdoors. L’assaillant de l’époque en avait d’ailleurs profité pour changer des pages, rebondir dans le réseau interne de l’entreprise… sans que personne ne s’en rende compte !
4. Comment te motives-tu lorsque tu ne trouves rien ?
Haha, tout d’abord, j’essaie de ne jamais rien trouver. Il y a (presque) toujours quelque chose à dire. Même une faiblesse très futile et qui peut sembler inutile (leak d’information technique, CVE, versions, stacktrace, banner, profiling de la cible, IP interne, etc.), peut par la suite débloquer le hunter dans la découverte d’une faiblesse bien plus conséquente.
Lorsque je bloque, que je ne trouve plus rien, je commence par freiner le café et j’envisage d’aller piquer un somme. Puis, je repars (presque) de zéro, en me forçant à ne pas suivre les hypothèses que j’ai émises jusque là, afin de découvrir de nouveaux angles d’attaques.
Les clients apprécient également lorsqu’on leur remonte des points de sécurité positifs et des bonnes pratiques qu’ils ont mises en place.
5. Quels types de bug préfères-tu hunter, et sur quels périmètres ?
Ce que je préfère, ce sont les vulnérabilités logiques, où l’on cherche à comprendre le cheminement de pensée du développeur : voir s’il n’y a pas des bugs dans la manière dont la cible est construite, regarder l’enchaînement des pages, et vérifier si un attaquant n’aurait pas la possibilité de contourner le système pour lui porter atteinte. On ne parle donc pas ici de faiblesse dans le code (vulnérabilité technique), mais réellement d’une logique de construction d’un système.
Personnellement, je m’intéresse surtout aux cibles web : sites, applications… Ces technologies se modernisent de jour en jour, et se démocratisent de plus en plus vis-à-vis des clients lourds. Ce sont donc des cibles prioritaires que les hunters se doivent de maîtriser.
6. Qu’est-ce que le Bug Bounty t’a permis de faire ?
Beaucoup de choses ! En dehors du fait que j’ai découvert de nombreuses technologies, et rencontré des gens formidables, ça me sert également dans ma vie professionnelle. Savoir trouver des vulnérabilités et des faiblesses très techniques ou logiques ne suffit pas pour être bug hunter, surtout sur des plateformes très sélectives comme Yogosha : il faut également pouvoir vulgariser, sensibiliser et s’adapter à son auditoire. Ces démarches pédagogiques m’ont beaucoup appris, et je suis notamment plus à l’aise dans mon métier en restitution client.
C’est aussi devenu un réel atout sur un CV. J’ai la chance d’avoir découvert des faiblesses de sécurité de sites de renoms tels que Google, EBay, Microsoft, Mozilla, Java, Oracle, Adobe, RedHat (…), et d’être cité sur les « Hall of Fame » et pages d’acknowledgement de ces sites. C’est un élément différenciant, qui démontre la passion, la volonté d’un hunter de contribuer à la sécurité globale et d’autrui.
Du côté de ma vie personnelle, le Bug Bounty m’a permis d’accéder à la propriété, de m’occuper de ma famille et de voyager avec ma bien-aimée ! Je suis réellement passionné par ce que je fais, et je peux choisir mes horaires avec le Bug Bounty (nocturnes principalement). C’est un métier vraiment flexible.
7. Quels hackers t’inspirent ?
J’admire surtout ceux qui documentent systématiquement leurs découvertes exotiques. Ceux qui font grandir la communauté sécurité en partageant leurs connaissances de façon réfléchie (responsive disclosure) et intelligente : détailler la faiblesse, la démarche entreprise pour la découvrir, l’impact, la criticité et surtout les méthodes de corrections.
Pour citer un projet qui me fascine, je parlerai des fondateurs du framework BeEF, un outil modulaire dédié aux vulnérabilités de type XSS, que je trouve absolument bluffant pour illustrer des scénarios d’attaques concrets.
8. Quels conseils donnerais-tu à quelqu’un qui débute dans le bug bounty ?
Le premier conseil que j’aurais à donner, c’est : sois patient. Au début, tous les hunters vont probablement faire face à pas mal de duplicates, qui sont un peu la hantise de cette activité. Quand tu sais que 50 000 personnes sont en train de chercher des vulnérabilités en même temps que toi, ça peut vite décourager. Mais au sein d’une communauté restreinte et sélective comme Yogosha, il y a beaucoup moins de duplicates que sur les autres plateformes.
Puis, lorsque tu découvres la première faille qui « flag », que tu reçois ton premier « bounty », tu réalises que le jeu en valait la chandelle. Mais ça nécessite de la patience au début, le temps de se perfectionner, et d’amasser énormément de connaissances !
Au quotidien, il faut se documenter, faire de la veille, de la recherche (0dayz, CVE), lire des write-up, être créatif, inventif, innovant dans ses approches offensives et bien sûr rendre la pareille en partageant ses propres découvertes avec la communauté. La pédagogie, dont j’ai parlé plus haut, est également particulièrement importante : il faut toujours savoir à qui on s’adresse, illustrer un maximum, et adapter son discours en fonction des interlocuteurs.