Table of Contents
Salut Victor ! Tu as rejoint la communauté Yogosha au dernier CTF, et il paraît que tu as un background intéressant.
Peux-tu nous en dire plus sur toi et sur tes débuts dans le hacking ?
Salut ! Je suis Victor, j’ai 23 ans et je suis apprenti chef de produit pour une société dans l’industrie pharmaceutique. Je suis donc spécialisé et passionné de pharmacie, marketing et hacking. Je viens d’ailleurs de décrocher un poste Red Team en tant qu’Ingénieur Cybersécurité pour la rentrée, grâce à un membre de la communauté Yogosha.
J’ai toujours été intéressé par le hacking au sens propre du terme : j’ai passé mon enfance à bidouiller tous les objets que j’avais sous la main (radio, ventilateur, gameboy…). J’ai vraiment commencé à hacker à 13 ans, avec le bouquin de John Erikson “hacking : the art of exploitation”. Je m’y suis mis plus sérieusement à la FAC, où j’ai participé à des programmes de Bug Bounty afin d’aider un ami à rembourser son prêt étudiant. Après avoir gagné mes premiers bounties, j’ai eu envie d’aller plus loin, et j’ai tenté le test d’entrée de Yogosha. Les épreuves étaient vraiment amusantes et challengeantes, et je suis ravi d’avoir rejoint la communauté !
Quel conseil donnerais-tu à quelqu’un qui débute dans le hacking ?
Quand j’ai commencé dans les années 2000, il y avait une vraie culture élitiste dans le hacking. De nos jours, on a plutôt tendance à affirmer que tout le monde peut le faire. C’est génial d’encourager les gens à se lancer dans le hacking, mais il faut savoir que c’est un milieu très complexe et technique, qui ne s’apprend pas en 1 semaine. Il ne faut pas partir du principe que ça va être facile, ou on risque de se décourager rapidement. Ça demande énormément de travail et de persévérance : dès que je sors de ma journée d’alternance, je passe la soirée, voire la nuit, à me former au Bug Hunting.
Sur un aspect plus technique, je recommande Overthewire pour se familiariser avec les systèmes Unix. Les sites proposant des machines vulnérables et CTFs comme Vulnhub sont également d’excellentes manières de s’entraîner. Pentester Lab propose aussi de nombreux exercices pour apprendre à maîtriser l’exploitation de différentes classes de vulnérabilités, et l’OWASP Juice-Shop est également une excellente image vulnérable qui pousse différents angles d’attaques
Concernant les livres, je me suis inspiré de 2 classiques : Hacking, The Art of Exploitation par Jon Erickson, et The Web Application Hacker’s Handbook, dont la V3 se trouve sur le site de Portswigger. Puis The Tangled Web de Michał Zalewski. Je me réjouis également de la sortie prochaine de The Bug Bounty Bible de Matthew Telfer.
Bref, il existe des tonnes de ressources pour se lancer ; il ne faut pas hésiter à poser des questions à la communauté, qui est également très soudée. Montrez votre démarche et votre volonté d’apprendre.
Que recherches-tu dans une plateforme de Bug Bounty ?
Pour moi, c’est avant tout les échanges avec l’équipe et les autres hunters : j’apprécie particulièrement l’aspect familial chez Yogosha, le fait qu’on ait un slack pour échanger tous ensemble. On ne se sent pas perdu dans une masse de hunters, l’équipe est réactive et les paiements sont plus rapides.
Sur les plateformes publiques il y a beaucoup de hunters, ce qui est top car on peut faire leur connaissance et bénéficier de leur expérience. Par contre, quand le nombre de hackers est conséquent, le nombre de bugs remontés l’est aussi, et le client peut vite se retrouver noyé sous les rapports de qualité parfois discutable. Je préfère l’idée d’une communauté sélective et maîtrisée, bénéfique à la fois pour la plateforme, le client et les hackers.
Enfin, un point de débat dans la communauté, est l’aspect non contractuel du Bug Bounty : le programme est le seul juge de la validité d’un bug et de l’émission d’un paiement . Au vu des controverses récurrentes, et de la complexité du problème, je soutiens une approche plus sélective des programmes, des hackers et des triageurs.
What do you focus on when you start Bug Hunting ?
When I am hunting, i try to stick to the classic philosophy of hacking, which is to overcome your limits and to think out of the box -while still being as comprehensive as possible-. I like the comparison with a castle that you are trying to break into : You inspect the castle, check the perimeter, register what is going in and out, seek for secret entrances etc…
Sometimes, what is defined originally as out-of-scope might allow you to penetrate in-scope. It is a lot like visualizing data : You get numerous ramifications, and from these isolated datas, you get to the root of a bug by following the breadcrumbs. In the past, I alreay found out-of-scope bugs in a client which allowed me to get a hold on most of their infrastructure.
Qu’est-ce qui t’attires dans le Bug Hunting ?
Le Bug Hunting, c’est avant tout une manière pour moi de m’amuser avec une discipline que j’adore de manière légale. Il y a une réelle notion de liberté et de curiosité : l’argent que tu gagnes dépend uniquement des compétences que tu as, et tu as la liberté de travailler où et quand tu veux. Et puis évidemment, le challenge intellectuel permanent, ce qui apporte un parfait ratio entre le temps investi, l’argent récupéré, et la stimulation intellectuelle. C’est également un ratio que je trouve dans le milieu pharmaceutique.
Quels bugs préfères-tu hunter ?
Je n’ai pas vraiment de catégorie favorite, je recherche avant tout à avoir le plus gros impact possible : accéder à des données sensibles, prendre la main sur le système… Si je devais en choisir une, je dirais les Improper Access Control, qui permet de dépasser les privilèges qui nous sont accordés.
J’aime également beaucoup l’OSINT, qui consiste à récupérer le plus de données possible à partir de sources de données dites “open source” . Sur un programme de Bug Bounty, il m’est arrivé de chercher très loin et en dehors du scope fonctionnel, et de réussir à craquer le compte d’une personne de la société qui avait de gros droits, ce qui m’a donné accès à toute leur base de code. C’est avant tout l’aspect investigation et enquête qui m’attire dans le Bug Bounty.
Tu te vois où dans 10 ans ?
Mon premier objectif est de gagner assez bien ma vie pour que mes enfants soient libres : on vit dans un monde où les libertés sont liées à l’argent. Je veux aussi pouvoir m’amuser intellectuellement. Je pense que l’entreprenariat prendra également une grosse place dans ma vie, je me vois d’ailleurs bien monter une entreprise. J’aime casser les choses mais aussi les construire.
Twitter : @DoomerOutrun
GitHub : @doomeroutrun
