Table of Contents
Mohammed Aloraimi, alias ixSly, est Cyber Team Leader aux Émirats arabes unis et hunter de la Yogosha Strike Force. Il nous a raconté son parcours dans le hacking éthique.
Depuis combien de temps es-tu hacker éthique ?
Presque 8 ans. Tout a commencé par une vulnérabilité qui affectait un célèbre service de messagerie électronique. Il s’agissait d’une prise de contrôle de compte due à une mauvaise configuration de la fonctionnalité de réinitialisation du mot de passe. L’exploitation était très triviale, et le PoC était partout sur Internet. Le “COMMENT” a été une véritable motivation pour moi, et il a marqué le début de mon parcours dans la cybersécurité.
Au début, je m’intéressais surtout à la sécurité des applications Web. Mais à un certain stade, j’ai voulu en savoir plus, alors je me suis orienté vers l’aspect développement. J’ai commencé par le développement iOS avec une adhésion à Apple, et j’ai publié quelques applications par curiosité. Je voulais voir comment les développeurs poussaient leurs applications, comment cela fonctionnait. Tout ce processus a été vraiment exhaustif et instructif, mais j’ai finalement réalisé que le développement n’était pas ce que je voulais faire. Je ne saurais trop insister sur le fait que le développement et le hacking éthique sont deux choses très différentes. Ce n’était pas ma voie, alors je me suis réorienté vers la sécurité.
En 2015, j’ai commencé à proposer mes services en tant que pentester freelance. Et en 2020, j’ai décroché mon emploi actuel. Présentement, je suis chef d’équipe pour une entreprise de cybersécurité basée à Abu Dhabi.
Puisque tu connais les deux côtés de la barrière, quel est ton point de vue sur la relation entre les développeurs et les équipes de sécurité ?
En réalité, la création de fonctionnalités est le principal objectif du cycle de vie du développement logiciel (SDLC), et c’est souvent l’aspect du travail que nous préférons. Cependant, de nombreux développeurs persistent à faire passer les fonctionnalités avant les bonnes pratiques de sécurité. La plupart des organisations sont conçues de telle sorte que la sécurité est la responsabilité de quelqu’un d’autre. Les outils d’analyse statique (SAST) et les tests d’intrusion sont simplement deux parties du processus global de réduction des risques de sécurité.
Imaginez qu’après avoir passé plusieurs centaines d’heures à créer une magnifique statue, quelqu’un arrive avec un marteau et commence à en faire tomber des morceaux après vous avoir dit que la base est incomplète.
C’est ainsi qu’est souvent perçue la relation entre un pentester et un développeur, ce dernier voyant les fonctionnalités de son logiciel détruites par une personne extérieure qui n’a pas suivi le processus avec lui, mais qui, au contraire, alourdit sa charge de travail et retarde sa capacité à expédier le code.
Il devrait y avoir plus de communication entre les équipes de développement et de sécurité. On ne devrait pas en arriver au point où les pentesters doivent réellement tester des choses et trouver des vulnérabilités. Il faut travailler ensemble avant tout ça.
Selon toi, quel est le principal avantage du bug bounty pour les entreprises et les organisations ?
Les programmes de bug bounty sont très attractifs du point de vue financier. Un pentest, par exemple, peut être très coûteux. Les pentesters disposent parfois d’un temps très limité, et les clients exigent une approche de type boîte noire. Les auditeurs n’ont alors pas une vue d’ensemble du fonctionnement d’une application. Il peut donc être plus pertinent d’opter pour un bug bounty plutôt que de dépenser des milliers de dollars pour un pentest. Vous offrez des primes, et vous ne dépensez votre budget que lorsque des vulnérabilités sont trouvées.
Mais ne nous méprenons pas, il est parfois essentiel d’impliquer des équipes de pentesters. Je pense qu’un rapport complet fourni par une équipe de pentesters a beaucoup plus de valeur qu’une découverte rapportée par un hunter, sans grande recommandation pour la partie remédiation, d’autant plus que la plupart des programmes ne considèrent pas la recommandation comme une exigence principale lors de la soumission des rapports.
J’aime considérer les pentests comme des instantanés dans le temps. Les conclusions et les recommandations reflètent les informations recueillies au moment de l’évaluation, et non les changements ou les modifications apportées en dehors de cette période.
En outre, je pense que des améliorations sont possibles en ce qui concerne le montant des primes que les entreprises sont prêtes à payer aux hackers.
Quel est le meilleur aspect du travail de hunter ?
Pour moi, la meilleure partie consiste à trouver les choses les plus difficiles. En tant que professionnel, je pense que la réalisation d’audits AppSec complets et les interventions Red Team compliquées sont ce qui apporte vraiment une valeur ajoutée.
J’aime enchaîner deux attaques, trouver plusieurs vecteurs et essayer de les combiner pour arriver à des choses sérieuses. De plus, l’enchaînement des vulnérabilités maximise vraiment les montants de la prime en tant que hacker. Cela peut aller de choses simples – comme fournir une string à un header du user agent puis la passer à un fichier de log pour un RCE – à des vulnérabilités beaucoup plus compliquées.
Et quel est le pire ?
Je pense que de nombreux hackers seront d’accord avec moi si je dis que le pire dans le bug bounty, ce sont les rapports dupliqués. Il est vraiment frustrant d’avoir un rapport classé comme un doublon alors que vous avez fourni un travail exhaustif sur une vulnérabilité qui est techniquement valide.
Y a-t-il une typologie de site sur laquelle tu aimes particulièrement chasser ?
Cela dépend vraiment de la cible et du champ d’application, je crois vraiment que l’énumération est la clé du succès dans la chasse au bug bounty.
J’aime me pencher sur les applications écrites en PHP. Comprenez-moi bien, il n’y a rien de mal avec PHP. Mais il y a beaucoup de fonctions et de choses qui peuvent être facilement manquées. Des fonctions qui sont là depuis le début de PHP, et dont on peut abuser, comme file_get_contents() ou d’autres de ce genre. Elles sont si courantes que vous pouvez les trouver dans n’importe quel type de répertoire ou d’application.
Bien sûr, cela s’applique plus ou moins à tous les langages, mais je pense que PHP est un bon point de départ pour les chercheurs en sécurité. C’est là depuis longtemps, et ça n’est pas prêt de changer.
Quel est le bug que tu es le plus fier d’avoir découvert ?
Si je me souviens bien, c’était en 2018. Il ne s’agissait pas d’un bug bounty mais d’une divulgation responsable [lorsqu’un hacker signale une vulnérabilité spontanément, aussi connu sous le nom de Vulnerability Disclosure Program, ndlr]
Il y avait ce fournisseur de services ici aux Émirats arabes unis, et je suis tombé sur une vulnérabilité critique dans l’un de leurs périmètres. Je ne peux pas le nommer, mais je peux dire qu’à l’époque, chaque citoyen des Émirats utilisait ce service. J’ai vérifié la vulnérabilité à plusieurs reprises et, lorsque j’ai été certain qu’elle avait effectivement un impact sur un grand nombre de concitoyens, je l’ai signalée dans le cadre d’une divulgation responsable.
J’étais vraiment heureux et fier d’avoir trouvé quelque chose d’aussi sérieux.
[Editor’s note] En parlant de VDP : ixSly a participé au GITEX 2022 à Dubaï, qui s’est tenu après cette interview. Il y a été récompensé dans le cadre d’une divulgation responsable. Félicitations !
Ton meilleur souvenir lié au monde du hacking éthique ?
Je n’ai pas vraiment de meilleur souvenir, mais je peux dire que la communauté elle-même est un élément important du hacking éthique. C’est toujours un plaisir de participer à des conférences sur la sécurité telles que DefCon ou BlackHat. D’écouter les chercheurs présenter une vulnérabilité Zero-Day ou expliquer comment ils ont réussi à s’introduire dans du hardware, des voitures ou de l’IoT. C’est vraiment inspirant de les entendre parler de la façon dont ils ont trouvé ces idées. C’est ce qui rend le hacking éthique vraiment intéressant.
Quel est ton avis sur la communauté des hackers éthiques aux Émirats arabes unis ? Sur le hacking éthique dans la région ?
La communauté des hackers aux EAU est en pleine expansion. À l’époque, il n’y avait qu’une seule compétition de CTF (Capture du drapeau) par an, mais il y en a maintenant beaucoup plus. Et je pense que ce n’est pas fini, car nous voyons de plus en plus de programmes de bug bounty et d’événements comme le GITEX à Dubaï qui invitent les hackers de la communauté à participer.
Un conseil que tu aimerais donner aux hunters débutants ?
Beaucoup de gens conseillent d’être patient. Mais pour moi, il s’agit plutôt d’être constant.
La persévérance est vraiment importante en tant que hacker, car vous ne pouvez pas simplement lancer des scanners sur des centaines de cibles qui font déjà partie d’un programme de bug bounty. Ce n’est pas comme ça qu’on trouve des choses. Vous devez avoir une approche plus approfondie de l’application, et toujours garder à l’esprit pourquoi vous participez à ce programme spécifique. La constance est la clé. Donc, aux nouveaux hunters, je dirais ceci : essayez moins de cibles, mais essayez plus en profondeur.
Lorsqu’il n’enchaîne pas les vulnérabilités, ixSly traîne aussi sur LinkedIn, TwitteretGitHub.