ECSC 2019 : portraits de Switch et Titanex

Quels sont leurs parcours ? Comment se sont-ils préparés ? Interview croisée.

Titanex : J’ai suivi une formation d’ingénieur informatique à l’École Nationale Supérieure des Sciences Appliquées et de Technologie (ENSSAT) de Lannion. Celle-ci était assez généraliste et m’a permis d’apprendre plusieurs langages de programmation. J’ai toujours été passionné par la cybersécurité, j’ai essayé d’en mettre un peu dans chacun de mes projets d’école. Puis j’ai décidé d’entrer dans le domaine par la voie professionnelle. J’ai intégré Orange Cyberdefense Belgium en stage, puis la branche cybersécurité de Sopra Steria. J’ai aussi suivi des cours en ligne sur l’Ethical Hacking. Quand on ne vient pas de la cybersécurité, il faut être capable de montrer sa passion aux recruteurs. Dans une dizaine d’années, ce sera moins vrai, les formations se seront développées. Mais aujourd’hui, il faut savoir que s’auto-former, c’est tout à fait possible, mais qu’il demeure parfois nécessaire de rassurer les entreprises.

Switch : J’ai obtenu un DUT réseaux et télécommunications à l’IUT de Saint-Malo et j’ai ensuite rejoint l’Ecole Nationale Supérieure d’Ingénieurs de Bretagne-Sud (ENSIBS), à Vannes. C’est durant mon DUT que j’ai vraiment commencé à creuser les sujets liés à la sécurité informatique et que j’ai acquis les bases. Cette formation a été pour moi une bénédiction car rares sont les formations à dispenser d’excellents cours de réseaux.

Titanex : J’ai pu découvrir les problématiques liées à la surveillance des réseaux. J’ai participé à la conception d’une offre CyberSOC. Au travers d’échanges avec notre client, nous avons pu définir les niveaux de menaces nécessaires et les règles de reporting associées. De cette expérience, je retiens surtout l’équipe où l’ambiance était bonne. Pour ce qui est de la mission en elle-même, le SIEM, outil principal du CyberSOC, est une machine qui réfléchit ; elle est capable de traiter des milliers d’évènements à la seconde pour les corréler, une tâche impossible pour un être humain. Les experts effectuent surtout des tâches de vérification, ce qui est intéressant, mais pas ce que je souhaitais faire sur le long terme.

Titanex : Chez Sopra Steria, j’ai analysé quotidiennement les nouvelles vulnérabilités publiques. J’ai appris beaucoup de choses, mais je n’ai pas trouvé ce domaine passionnant. J’adore la technique et le pentest est parfait pour ça. Dans l’Ethical Hacking, nous faisons des audits de code ; une mission assez proche de ma formation universitaire, ce qui m’a aussi beaucoup aidé.

Switch : Je suis apprenti auditeur sécurité. Le but de mes missions est de trouver des vulnérabilités au sein des services web, avant que des pirates informatiques ne les trouvent et les exploitent. Je me mets littéralement dans la peau d’un hacker qui veut attaquer une application ou un serveur et dresse une liste des vulnérabilités que je trouve afin d’aider les concepteurs des applications et les administrateurs des serveurs à “patcher“, c’est-à-dire à corriger les failles ou les mauvaises pratiques trouvées.

Switch : Nous commençons par cartographier le site web, c’est à dire trouver tous les points d’entrée, l’architecture de l’application, les technologies utilisées, les versions des applications, les fichiers oubliés. Ensuite, vient une étape de documentation très importante. Il arrive assez souvent que l’application utilise une technologie que je ne connais pas, il m’est donc nécessaire de me renseigner sur elle, jouer avec en développant quelques petits morceaux de code par exemple. Puis je cherche des papiers de chercheurs en sécurité à propos de cette technologie pour découvrir des méthodes d’exploitations ou des failles connues. Une fois à l’aise avec la technologie et l’application, l’audit commence.

J’utilise quelques outils qui nous facilitent la tâche et évitent qu’on passe à côté de bugs cachés. Pendant l’audit, nous pouvons également être amenés à coder des petits scripts pour nous aider dans nos tâches, pour par exemple, extraire des informations d’un serveur ou d’une base de données. Parfois, nous réutilisons simplement des scripts récupérés sur Internet, faits par d’autres auditeurs du monde entier et l’adaptons à nos besoins.

Une fois l’application entièrement auditée, il est nécessaire de retranscrire tout ce que nous avons trouvé dans un rapport, destiné à notre client. La rédaction de ce document est extrêmement importante car il décrit comment sécuriser les failles trouvées lors de l’audit : il servira aux personnes en charge de l’application pour comprendre pourquoi les failles sont présentes et comment elles peuvent être exploitées.

Titanex : Mes missions sont très diverses. Les plus courantes sont les audits d’applications web, principalement pour des grands groupes. Je fais aussi régulièrement des audits de code sur des langages de programmation variés. Plus rarement, il m’arrive de réaliser des audits de configuration et de systèmes d’information.

Titanex : Nos missions sont très diversifiées. Il est rare d’effectuer un audit sur les mêmes technologies deux fois de suite.

Switch : Devoir se creuser les méninges pour trouver un moyen de contourner un filtre ou extraire une information précise sachant que les principaux canaux de communication ne sont pas disponibles. Toujours maintenir ses compétences à jour en lisant des analyses de chercheurs en sécurité, dénicher des petits outils qui feront la différence. Mais par-dessus tout, acquérir sans cesse toujours plus de savoirs au fil des audits : nouvelles méthodologies, nouvelles vulnérabilités, nouveaux outils, nouvelles technologies etc.

Titanex : Nous travaillons le plus souvent en binôme. Cela dépend de la mission et de sa durée.

Switch : Je n’ai pas changé mes habitudes : je passais mes soirées sur mon PC à faire des CTF, challenges ou simplement sur Twitter et Discord pour échanger avec la communauté. J’ai essayé de me familiariser avec de puissants frameworks comme z3, un démonstrateur automatique de théorèmes ou encore ANGR, un framework d’analyse pour fichier exécutable.

Titanex : Nous avons participé à quatre jours d’entraînements avec les coachs de l’ANSSI sur des sujets précis comme l’intelligence artificielle ou la radio, pour finir sur une journée de CTF. Personnellement, je me suis entraîné sur des sujets comme la cryptographie ou les forensics. Nous avons participé à des CTF en ligne pour nous entraîner.

Switch : En effet, l’ECSC ne sera pas mon premier CTF. J’en ai réalisé quelques uns, comme l’ECW par exemple. J’ai également participé à la création de CTF comme Flag’Malo dans mon ancien DUT et à la 3ème édition de l’inter IUT dans mon école actuelle. J’apprécie ces concours car ils permettent de découvrir de nouveaux bugs et techniques pour les exploiter. Ce sont littéralement des entraînements pour mon métier. Ils permettent également de travailler en équipe et de se réunir pour partager un bon moment : il arrive même que l’on rencontre des personnes de la communauté des hackers lors des événements physiques.

Titanex : J’ai principalement participé aux BreizhCTF. Ce sont des concours très intéressants ou les épreuves sont très variées. Certaines sont simples, mais d’autres sont bien plus complexes et permettent d’apprendre de nouvelles techniques d’attaques.

Titanex : C’est une très bonne manière d’apprendre et de diversifier ses savoirs. Pentester, c’est encore un métier très jeune, peu de formations existent. Les CTF permettent de gagner des compétences nouvelles et d’appréhender des techniques que nous n’utilisons pas au quotidien. Lors d’un pentest, nous ne savons pas ce que nous allons trouver. En challenge, il faut s’entraîner sur des sujets très précis.

Titanex : Être très curieux et passionné.

Switch : Ne pas avoir peur de poser (et de se poser) des questions. Constamment chercher une réponse à chacune de ces questions, même quand c’est difficile.