👨‍💻

Champion du Monde de Hacking en 2023

Sep 18, 2024

View transcript

Notes de la Présentation : Champion du Monde de Hacking

Introduction

  • Invité : Ronny Carta, alias Lupin sur Twitter
  • Âge : 19 ans
  • Titre : Champion du monde de hacking avec une équipe de 21 personnes

Compétition de HackerOne

  • Plateforme : HackerOne
  • Concept : Bug bounty pour identifier des failles dans des entreprises
  • Structure de la compétition :
    • Phase 1 : Capture the Flag (CTF)
    • Phase 2 : Tournoi avec éliminations directes, similaire à une coupe de foot

Phases de la Compétition

Capture the Flag (CTF)

  • Principe : Trouver des vulnérabilités dans des sites créés pour l'événement
  • Points : Basés sur le nombre de vulnérabilités trouvées

Bug Bounty

  • Objectif : Pirater de vraies entreprises pour trouver des failles
  • Périmètre : Programmes publics de nombreuses entreprises (ex : Epic Games, Uber, Reddit)

Méthodologie

  • Équipe hétérogène : Besoin de compétences en bug bounty et CTF
  • Utilisation d'outils automatisés :
    • Pour la reconnaissance et identification des sous-domaines
    • Environ 10 rapports médium à critique trouvés

Exemple de Faille : Sandwich Attack

  • Processus : Exploitation des tokens de reset password
  • Technique : Manipuler le temps de génération des tokens pour intercepter celui de la victime
  • Résultat : Prise de contrôle d'un compte sans clic de l'utilisateur

Expérience de la Compétition

  • Demi-finale contre le Brésil :

    • Importance de la créativité et de l'originalité
    • Besoin de découvertes inédites pour marquer des points

  • Finale contre l'Inde :

    • Motivation accrue et travail d'équipe
    • Découverte des "clés du royaume", c'est-à-dire un contrôle total
    • Émotion et adrénaline fortes lors de la découverte

Récompenses et Carrière

  • Récompenses financières :

    • Varie selon l'entreprise et la criticité de la faille
    • Peut aller de 2000 à 15 000 dollars, et plus pour les smart contracts
    • Plus gros bounty récemment : 1 million

  • Carrière de Ronny :

    • Poste actuel : Senior Security Engineer chez ManoMano
    • Influence familiale : Encouragé à penser indépendamment et à suivre ses projets

Conclusion

  • Surprise : Découverte que le site web de l'interviewer avait été piraté
  • Impact : Met en évidence l'importance et la réalité du hacking et de la cybersécurité aujourd'hui

Full transcript