Rencontrez-nos-hackers-Kuromatae

Rencontrez nos hackers – Kuromatae

Posted by

1. Qui se cache derrière Kuromatae ?

Anthony Bouvet, 26 ans, Bug Hunter à temps plein !

2. Pourquoi as-tu commencé à hacker ?

J’ai commencé, comme beaucoup, à bidouiller mes jeux vidéo lorsque j’avais 12 ans. Ma première « vuln », c’était une manipulation dans le code hexadécimal du jeu Slayers Online ; Il était possible de ne pas se faire toucher par ses adversaires, en faisant en sorte que le jeu ne voie pas ton personnage ou tes déplacements.

Suite à mes études à l’école 42, j’ai trouvé un poste en sécurité pendant 6mois, mais j’ai rapidement réalisé que j’avais besoin d’indépendance, et que le Bug Bounty était le meilleur moyen de me professionnaliser en sécurité. Il faut savoir qu’un hunter ne remontera pas une faille qu’il n’a pas réussi à exploiter. Ainsi, il devra se challenger, et acquérir des capacités techniques lui permettant d’accéder à cette vulnérabilité, afin de toucher sa récompense. 

3. As-tu remarqué une évolution depuis que tu as commencé à hunter ?

Absolument ! J’ai remporté mon premier bounty en 2013, sur la plateforme BugCrowd, après avoir trouvé une faille XSS sur un site. A l’époque, c’était juste une plateforme qui listait des sites avec des périmètres à tester. Il n’y avait pas d’inscription possible, on réalisait un pentest du site listé, puis on signalait directement à l’adresse mail fournie par l’entreprise pour toucher la rémunération .

Les plateformes – et les rewards – ont énormément évolués depuis ! Depuis sa création en France il y a 3 ans, Yogosha a mis en place de nombreuses fonctionnalités innovantes pour les hunters comme pour les entreprises. Le widget du prix, par exemple, qui permet d’évaluer la criticité et le prix d’une vulnérabilité en se basant sur les antécédents de l’entreprise, est très utile pour mettre le hunter et l’entreprise en phase sur le montant d’une faille. Ce type de fonctionnalité permet aux hunters d’être rémunérés correctement, et aux entreprises de s’appuyer sur une communauté très qualifiée.

4. Quels bugs t’attirent le plus ?

Les applications mobiles, avec lesquelles on peut faire des choses assez drôles, en dialoguant en direct avec l’application. Un jour, j’ai testé une appli mobile, et je me suis rendu compte qu’en envoyant des requêtes, on pouvait modifier l’interface de l’utilisateur en temps réel !

5. Quels conseils donnerais-tu aux entreprises avec lesquelles tu travailles ? 

Pour moi, la réactivité est le point le plus important. Je ne parle pas forcément d’obtenir la rémunération rapidement, mais surtout de tenir le hunter au courant de l’avancée des rapports. Plus l’entreprise nous prévient tôt, moins nous aurons de chance de tomber sur le fameux duplicate, hantise de notre métier.

Il arrive qu’une entreprise soit très compréhensive et rémunère même en cas de duplicate, si elle considère que le rapport apporte une valeur ajoutée à sa sécurité. Enfin honnêtement, c’est assez rare, ça arrive quelques fois sur la plateforme de Yogosha.

6. Comment penses-tu que le Bug Bounty va tendre à évoluer ?

Je pense que l’on va plutôt tendre vers des communautés privées. Le problème avec le Bug Bounty public est sa trop forte exposition ; un attaquant mal intentionné qui verrait qu’une entreprise lance un programme ouvert au public pourrait être tenté d’intervenir.

Pour le hacker, c’est également plus intéressant d’être mis sur des programmes privés. Sur des plateformes publiques, certains nouveaux hunters vont trouver une vuln et rédiger un rapport de 2 lignes. La faille est certes rémunérée, mais ils ne sont pas jugés sur la qualité de leurs rapports. 

Pour les entreprises, je pense qu’elles vont tendre à agrandir leurs équipes internes pour s’occuper des programmes, avec au moins un collaborateur consacré au Bug Bounty. Et la tendance laisse à penser que les rewards vont augmenter, puisque les entreprises sont de plus en plus réceptives au travail des chercheurs.

7. Tu te vois où plus tard ? 

J’aimerais lancer mon entreprise de pentest. Au début je vais faire du pentest en freelance, en gardant mon activité de Bug Hunter. Puis j’aimerais me lancer entièrement et ouvrir ma boîte. Je suis également attiré par l’aspect sensibilisation de la sécurité. Dernièrement, j’ai fait un article pour SFR numéricable. J’ai testé leur application mail, et j’ai rédigé un article afin de montrer que sur internet, personne n’est à l’abri d’une mauvaise surprise concernant ses données personnelles.

8. Que signifie Kuromatae?

Rien du tout ! Je voulais un nom sympa et facile à prononcer, qui n’existe pas. Et puis, j’étais curieux de voir comment il allait évoluer dans les résultats de recherche Google.

Laisser un commentaire