Ce que j'entends le plus souvent de la part des recruteurs c'est
« Mes pierres, il y a des millions de candidats potentiels sur LinkedIn, j'ai pas le temps, j'ai déjà des millions de réunions, des millions de mails »
Alors je leur réponds, avec LinkedIn Recruteurs c'est simple, vous formulez votre recherche avec vos propres mots
et l'IA trouve instantanément les candidats correspondants à vos critères
et grâce à ça, vous pouvez gagner jusqu'à 3 heures par semaine sur vos recrutements
et là, on me répond à chaque fois
« 3 heures par semaine, je vais pouvoir faire un million de choses »
Avec LinkedIn, recrutez des bons profils plus vite
Rendez-vous sur LinkedIn.com.
Recrutez mieux
Est-ce que, déjà pour commencer, avant qu'on rentre dans le vif du sujet qui nous réunit aujourd'hui,
vous voulez vous présenter et nous expliquer ce que vous faites chez Dr.Lib ?
Vas-y, on commence par le OU.
Ok, bon.
Du coup, moi je suis Cédric, j'ai la responsabilité de toutes les activités cyber du groupe Dr.Lib.
Très clair.
Et donc au quotidien, ton travail ressemble à quoi ?
On va essayer de gérer une équipe de joyeux Dris qui essaye de protéger toute notre infrastructure.
Et c'est une équipe de combien à peu près pour eux ?
Aujourd'hui, il y a 21 ingénieurs à Templin et après, on a une côte par des équipes de la Tech
et d'autres équipes qui contribuent à la sécurité.
Donc en nombre d'équivalents Templins, on est plutôt entre 60 et 100 personnes.
Ok. Et donc que des profils plutôt cyber ?
L'équipe SQ, c'est 100% des ingénieurs cyber.
Ok.
Donc ?
Donc moi !
Donc, c'est bon.
Et toi, au quotidien, qu'est-ce que tu fais ?
Du coup, moi je suis dans une partie, c'est vrai qu'il ne le dit pas, mais il a plusieurs équipes qui sont en plus ou moins spécifiques.
Et moi, mon équipe, on aide les développeurs à développer correctement, on va auditer leurs codes, on va regarder ce qu'ils font,
on va leur faire des précaux un peu sur les algos à utiliser, la mineure de développer.
Je vais laisser le côté des développements.
Donc ton tâche rondée, c'est lire du code ?
C'est pas lire du code, c'est lire des descriptifs, des devs qui nous disent « on va faire ça comme ça ».
Donc moi, je vais aller...
Tu dois repérer tout ce qui ne va pas et tout ce qui ne va pas.
Je leur dis « ça, c'est peut-être pas une bonne idée de faire comme ça, on va peut-être utiliser plutôt tel algos, telle manière de faire ».
Et après, ils codent et là, on va regarder le code qui font et dire « ça me paraît ok ».
Ok. C'est hyper intéressant.
Et donc, j'imagine que vous avez aussi du défensive, parce que vous avez des gens qui essaient de vous auto-hacker, des trucs comme ça ?
Ouais. On a une red team chez nous.
Donc c'est la grosse bataille entre la red team et la blue team.
On a un compteur où on met des scores en mode « on t'a pas vu, on t'a vu ».
Justement, on spie le patron parce qu'on va revenir entre autres sur ça.
Juste avant qu'on commence, n'hésitez pas à mettre vos micros.
Je suis désolé, bien en bas, pas trop justement au niveau du menton à peu près, pour qu'on vous voit bien.
Parfait, ce serait dommage.
Aujourd'hui, on reçoit donc Cédric et Clément qui travaillent dans la sécurité informatique d'un des plus gros sites en France.
On peut dire que même Dr. Lib, ça n'est pas rien.
C'est une collaboration commerciale très particulière, parce que j'attends de la faire depuis très très longtemps.
Vous le savez peut-être. J'en avais d'ailleurs parlé en live.
C'est comme ça que toute cette histoire a commencé.
C'est que je désespère depuis des années de discuter avec des hackers et des équipes de cyber sécurité,
qui parleraient sans filtre de ces « comment » exactement de protéger une boîte de cette taille en 2024.
Quels sont les attaques les plus folles ou les plus torduques que vous ayez jamais subies ?
Si oui, qui était derrière, si vous le savez ?
Est-ce que c'est stressant comme métier ?
Plein de questions que les gens peuvent se poser.
On verra à quelle question vous pouvez répondre et à quelle question vous ne pouvez pas répondre.
Mais surtout, et c'est ça qui va nous intéresser, on va revenir dans le détail sur l'une des plus grosses cyber attaques que vous ayez eu de votre histoire.
C'était au beau milieu de l'été il y a quelques années.
Vous allez nous expliquer tout ça.
Avant, est-ce que, déjà merci beaucoup d'avoir accepté de venir ?
Franchement, ça fait très plaisir.
Merci à toi de nous recevoir.
Est-ce que vous pouvez me raconter un peu comment tout ça s'est venu de d'où ?
Qui était là ce jour de live ?
Et a eu l'idée de venir tout simplement ?
On est plusieurs à la gage de la mission et du coup on t'a entendu dire exactement ça.
On a la recherche de boîtes qui seraient prêts à parler de ce qu'elles ont vécu.
C'est intéressant.
On a vu avec les gens de la com on se dit peut-être qu'on peut en parler parce que nous ça ne dérange pas.
On est hyper transparent sur ce qu'on fait et ce qu'on vit.
Ils ont pas été dur à convaincre ?
Non, c'est hyper motivé.
C'est trop intéressant parce que peut-être il y a parfois des petites réticences à parler de cyber à sécurité.
Mais ça paraît absurde parce que, au contraire, je trouve que c'est justement en ayant une démarche où on se partage un peu.
Pour que les gens découvrent comment on sécurise bien une entreprise.
On sait bien que la sécurité à 100% ça n'est pas possible parce qu'on fait constamment c'est construire le château le plus robuste.
Mais c'est vous qui allez nous parler de ça.
C'est quoi ton point de vue sur le fait de s'exprimer sur ces sujets-là ?
Est-ce que tu as une petite réticence avant de venir ou pas ?
Franchement, pas de réticence.
C'est un sujet auquel on réfléchit depuis pas mal d'années.
Et puis la maturité venant, on s'est dit qu'effectivement on avait pas mal de choses à partager.
On a quand même une infrastructure qui est très particulière.
En termes de chiffres, c'est assez éloquent.
On en discutait tout à l'heure avec Clément.
Par exemple, on a une base de données qui fait 25 terras de mémoire vives.
Donc, probablement une des plus grosses bases de données transunctionnelles hébergeant en Europe.
On a une volumétrie de trafic qui est de l'ordre de 2 milliards de requêtes par jour, 100 millions de visites uniques.
C'est un écosystème qui est super intéressant d'un point de vue de sécu.
On a des équipes de DEF qui font 3 mises en prod par jour.
Ça te laisse imaginer tout ce que ça implique en termes de suivi des DEFs, des procédures.
C'est un écosystème qui est super sympa.
Il y a une partie de l'idée qui est venue du fait que nous, quand on cherche des solutions à nos problématiques, on n'en trouve jamais.
Il y a probablement des boîtes qui sont dans la même position que nous.
On s'est dit que si on avait un peu de choses à partager, c'était une bonne idée de le faire.
Ça fait très plaisir, clairement.
Déjà, pour commencer, pour peindre le tableau, c'est quoi vos principaux enjeux en cyber pour une boîte de 7 envergures ?
Par exemple, il y a combien de personnes qui sont dédiées uniquement à la cyber sécurité chez vous ?
À temps plein, vraiment, on a 4 équipes.
Ça représente 21 personnes, vraiment.
100% ingé sécu et ils ne font que ça de leur journée.
On a l'activité de l'équipe de Clément, ce qu'on appelle Product Security en interne,
qui est là pour aider les développeurs à produire du code sécurisé.
On a une équipe qui est vraiment tournée juste sur la sécurité de la plateforme, donc toute la partie Cloud.
Une autre partie de l'équipe qui fait toute la partie sécurité de l'environnement qu'on donne aux employés de Dr.Lib pour travailler.
Et après, on a cette fameuse Red Team Blue Team.
Pour expliquer aux gens que c'est quoi le concept, on dirait pour l'instant un jeu vidéo.
Alors Red Team Blue Team, les rouges c'est les attaquants, les bleus c'est les défenseurs.
Donc les bleus doivent détecter tout ce qui est généré par les attaquants.
Et la réciproque est vraie, les rouges ne doivent pas se faire attraper par les bleus.
Jusqu'à présent, les bleus vont gagner.
Et juste pour savoir, c'est quoi ça ? Ça se passe.
Il y a une journée « bataille » comme dans le CES ou le Jou ACS, tous les jours c'est bataille.
L'équipe rouge a un mandat et un seul mandat a le droit de tout péter à n'importe quel moment.
Si il arrive, charge à l'équipe bleue de mettre en place les mécanismes qu'ont été passés par l'équipe rouge, d'aller voir les devs, etc.
C'est comme ça que fonctionne. Donc leur seul mandat c'est de tout péter.
Moi si mon job c'était d'être en ré-team chez Dr.Lib, mon quotidien ce serait littéralement d'essayer de...
T'as le droit de ficher dans un peu de forme quoi.
T'as le droit de faire du fishing à d'autres employés, ils font vraiment ce qu'ils veulent.
C'est quoi les attaques les plus marrantes, entre guillemets spectaculaires qui ont été tentées ?
En fait on a discuté avec d'autres boîtes et donc je vais citer Antonin qui a eu 6 autres vp qui nous a partagé une partie de cette approche-là.
On a repris ce qu'il appelle un flag.
Donc en fait on va pas vouloir jouer 100% de l'attaque mais on va donner à l'équipe red team un point de départ.
On va considérer qu'ils ont compromis un compte par exemple.
Donc ils ont accès à un compte de Dr.Lib.
Et à partir de ça on va leur demander d'aller le plus loin possible.
Donc le dernier flag marrant qu'on a fait c'était...
Vous avez pris le contrôle d'un compte de dev, objectif exfiltrer la base de données ou prendre le contrôle sur la prod.
Donc cet attaque elle s'appelle Silent Chip Munk en interne et ça a marché.
Oh ok donc ils ont pas réussi l'ensemble de l'attaque.
Ils ont pas piqué la base de données mais ils ont eu un contre-route sur la prod.
Très stylé et sans que ce soit trop complexe parce qu'on peut donner une image de ce qu'ils ont réussi à faire.
Comment ils ont réussi ?
Ouais ils ont exploité une vulnérabilité dans notre outil de gestion de code.
Ça leur a permis de sortir un secret qui leur a permis d'élever des horaires privilèges et après ils se sont baladés dans l'infra.
Et ils ont récupéré un contre-route.
Très stylé.
Alors les avantages qu'ils ont par rapport à des vrais hackers c'est qu'ils connaissent l'infra.
Exactement.
Et qu'ils ne parlent pas de zéro.
Et pour nous c'était important aussi.
Il y a les attaques externes qui sont vraiment très importantes pour nous.
On est très exposés donc on y fait très très attention mais on fait aussi super attention à l'interne.
Et suite à ça on remonte des trucs aux éditeurs justement de solution de gestion de code pour leur dire qu'il y a un truc qu'ils ont utilisé.
Qui est peut-être pas très clair dans votre doc, qui est exploitable et qui est assez limite.
Donc voilà on remonte aussi des trucs à l'extérieur en disant les problématiques ne sont pas que chez nous sur de la configuration.
Par exemple l'outil est peut-être pas fou.
Alors du coup je dois expliquer ce que toi tu fais Clément.
C'est que mettons, vous découvrez une vulnérabilité ou une problématique, quelque chose qui est mal implémenté, des choses comme ça.
Qu'est-ce que toi tu fais à partir de ça ?
Alors ça n'arrive plus.
Alors en fonction de comment ça remonte en soi on va déclencher ce qu'on appelle les crises en gros des crises.
C'est la merde en gros.
C'est la merde ça sonne de partout.
Il y a les téléphones de plein de gens qui se mettent à sonner en disant il y a un problème.
Et en fonction on va aller voir l'équipe de développement qui s'occupe de ça.
On va dire bon on se pose où est le problème il faut qu'on trouve le problème.
Et après en fonction de où est le problème on va le patcher le plus rapidement possible.
Donc ce que disait Cédric on fait trois mises en prode par jour mais le jour on a un gros problème.
Dans le quart d'heure on est capable de patcher de mettre en prode.
Et donc quand on fait ça et après on va écrire ce qu'on appelle des post mortems.
Ça vient un peu de tout ce qui est aviation où tu vas faire des retours sur ce qui s'est passé.
Et là tu vas expliquer d'où vient la vulnérabilité pour quand là...
Alors il y a un plan de procédure et c'est assez guidé mais on va avoir des trucs qu'on appelle les 5 OI.
Donc les 5 pourquoi ?
Donc on va expliquer pourquoi ça arrivait.
Alors on fait une explication pourquoi ce truc là est arrivé.
Et on fait cinq fois jusqu'à se dire l'origine réelle du problème c'est ça.
Ok donc il faut corriger ça et alors apprendre des plans d'action pour aller corriger tout ça.
Et donc toi tu vas t'expliquer notamment ta spécialité c'est tout ce qui est le développement correct ou le développement sécurisé.
Donc ton job c'est de conseiller les développeurs pour qu'ils n'introduisent pas de faille.
Oui parce que les failles peuvent être dans des...
J'imagine dans des outils développés par d'autres gens mais c'est régulièrement des choses internes.
Comment toi tu...
Enfin comment tu deviens...
Chacure de code comment tu deviens spécialiste en code sécurisé ?
Chacure de code je vais vous nommer comme ça sur Slack.
Mais c'est pas mon titre.
Globalement je n'ai appétence pour le dev depuis toujours et puis pour la CQ...
Je fais des classiques hein j'ai pire attaie mon collège, mon lycée, un truc que tout le monde a un peu fait.
Après j'ai un parcours qui n'est pas hyper classique à l'époque.
Moi quand j'ai commencé c'était il y a dix ans il n'y a pas d'école de CQ, il n'y avait pas.
J'ai fait une école d'angé hyper classique.
Donc voilà je suis arrivé là en me disant ça m'a tarcu le dev, j'ai fait du pen test.
Et quand tu fais du pen test à un moment tu sais ce qui t'intéresse, ce qui t'intéresse pas.
Et quand tu arrives à faire du développement web, aller chercher des vulnérabilités dans du code web et des trucs comme ça.
Tu commences un peu à spécialiser dans le développement et je suis arrivé comme ça.
Tu commences à savoir comment on programme...
C'est quoi le bon algorithme ? C'est quoi la bonne manière d'impliquer ?
Souvent était du côté red avant de passer du côté bout.
Tu sais comment ça marche.
C'est souvent comme ça.
Alors pour commencer sur des choses un petit peu simples entre guillemets, est-ce que vous êtes victime de dédoss par exemple ?
Ouais ça arrive souvent.
Ça arrive très souvent.
En fait on a une volumétrie de trafic et tellement énorme qu'on a beaucoup de trafic qu'on pourrait appeler garbage, donc trafic poubelle,
qui va s'insérer là-dedans et en fait ce qu'on va détecter nous c'est des pics.
Et suivant la durée et l'intensité on va considérer ça comme un dédoss.
Donc parfois c'est des trucs qui sont généré automatiquement, parfois c'est des choses qui sont vraiment très très ciblées.
Et par exemple vous êtes fait dédoss par le président ?
Celui-là c'est le plus beau qu'on ne le sait pas.
Celui-là était vraiment magique.
En fait il faut se remettre un peu dans le contexte.
C'est contexte de pandémie au moment de la deuxième campagne de vaccination.
On était un des trois prestataires retenus par l'Etat pour aider les gens à se faire vacciner.
Donc il n'y avait pas que nous sur ce sujet-là.
Et un soir on a le président Macron qui le 12 juillet si ma memoire a bonnes, qui passe à la télévision à 20h et qui explique à tout le monde que
pour l'été si vous voulez pouvoir aller boire un verre dans les bars, faire la fête, il vous faut absolument une deuxième dose de vaccin.
Et là on s'est fait défoncer.
Alors que pourtant vous avez des infrastructures solides et trucs comme ça ?
Mais là il faut dire que c'est passé sur toutes les télé de France et de Navarre.
En fait c'est assez marrant parce qu'on avait des métriques précédentes.
On a Stan, notre PDG qui passe assez régulièrement.
C'est l'époque là que passait assez régulièrement à la télé aussi parce que c'était un sujet d'activité.
En gros quand Stan passe à la télé notre trafic fait froid 3.
Mais on est prévenu que Stan va à la télé.
Nos équipes nous disent attention ce soir il y a Stan, préparer l'infra, ça va peut-être tous un peu.
Malheureusement on n'a pas ce même niveau de connivance avec le président.
Ah oui, il manie le Macron.
Et lui quand il passe à la télé notre trafic il fait froidis.
Et il ne nous prévient pas.
Et il ne nous prévient pas.
Et même si on a des mécanismes qu'on appelle l'autoscaling, donc en fait notre infra est élastique.
C'est à dire qu'elle augmente et elle réduit en fonction de la charge qui est appliquée dessus.
C'est un mécanisme qui prend 15 minutes à peu près pour arriver à soutenir la charge.
Et en moins de 15 minutes on s'est fait bien tabasser.
Il suffit que le pic soit suffisamment court et intense.
Oui il était vraiment violent.
Vraiment on a fait froidis entre un pic en moins de 3 minutes je pense.
Oui moins de 3 minutes.
Et est-ce que c'est un exemple fortuit entre guillemets ?
Est-ce que vous avez vraiment des des dosques dont vous savez qu'ils sont malicieux ?
Et le genre de raison qui pourrait expliquer ça ?
Alors il y en a eu pas mal pendant la pandémie en fait pour des raisons plutôt liées à de l'activisme.
Donc il y avait je sais pas si tu te souviens mais il y avait les pro-vaccins, les anti-vaccins.
Donc il y a eu des choses qui se sont arrivées comme ça.
Il y a eu aussi un peu de contexte géopolitique parce que dans certaines situations les positions du gouvernement français vis-à-vis de ça
étaient pas en lien avec celle de certains autres pays.
Donc on a pris un peu de trafic.
Et plus récemment là on a vu des premiers des dosques qui ressemblaient très très fortement à des choses très automatisées
voire liées à de la génération via de l'AI.
D'accord.
Et ça c'est très récent, ça arrive au mois d'août.
Donc ça veut dire que des acteurs malveillants essaient de pourrir votre plateforme avec du contenu généré par IA.
Oui plus.
En fait mais la typologie elle change parce qu'une attaque des doses globalement c'est quelque chose qui est assez violent mais assez long dans le temps.
Donc ça ça ne s'arrête pas.
La moyenne c'est ça dure à peu près 10 minutes.
Là les dernières qu'on a vu c'était des grosses résurgence de trafic mais sur un temps beaucoup plus court que ça.
Un inférieur à 3 minutes.
Et après on a vu une évolution dans les mécanismes qui étaient utilisés.
Et qui c'était assez bluffant parce que c'était vraiment très intelligent.
Dans le sens où ils arrêlent l'attaquant ou les attaquants.
Arrivait à détecter de manière assez fine les mécanismes qu'on avait mis en face pour se protéger.
Donc en fait c'est un peu le jeu du chat et de la souris.
Donc on a pareil on a dû tourner quelques boutons mais celle là c'était assez drôle.
Alors on pourrait dire que tout ce qui espame des doses des choses comme ça c'est.
Dans le bas de la sophistication on va dire c'est assez simple mais là non.
Il y avait une vraie adaptation de l'ennemi entre guillemets.
Les premiers niveaux entre guillemets étaient assez simples.
Et puis après effectivement ils commençaient à injecter des caractères spéciaux dans certains trucs.
Ça faisait bugger nos consoles de monitoring.
Il y avait des trucs qui commençaient à être un peu recherchés.
C'est ouf.
Oui non ça c'était assez marrant.
Et ça peut arriver à n'importe quel heure j'imagine ce genre de trucs.
Ça arrive souvent la nuit.
Il faut savoir qu'on a des systèmes d'astreinte où le téléphone peut sonner pour suiquer d'astreinte.
Donc quand tu te retrouves à trois heures du matin en calçon dans ta chambre en train d'essayer de sauver Dr.Lib qui prend un dédoss.
Tu te sens un peu super héros finalement.
Là pour y tu es un peu par aussi de faire un peu plus.
Du mois d'août toi tu avais le Covid on en avait un qui était un mariage.
Ouais je t'étais chinois.
C'était rigolo ouais.
C'était rigolo.
Parce que ce que te disait Clemonde tout à l'heure c'est qu'on a des règles.
En fait au début tu parlais de y a pas de sécurité parfaite.
Nous on en est bien conscient donc en fait on n'a pas cette approche là on ne veut pas faire du 100% mais on veut réagir le plus vite possible à quelque chose qui est de l'ordre de la normale.
Et donc en heure ouvrée c'est cinq minutes pour arriver dans la crise et commencer à mitiger l'incident.
En heure non ouvrée c'est quinze minutes donc ça va assez vite.
Et le but pour nous c'est ça c'est pas nécessairement d'arrêter ce qui se passe mais c'est de s'assurer qu'il n'y a pas d'impact.
Donc c'est comme ça qu'on réagisse pour ça que tu as ouïe des fois tu as des gens en slip en tout cas.
En train de sauver l'infra.
Et ça c'est beau.
Juste pour réaliser c'est quoi les conséquences parce que vous êtes une entreprise.
C'est un des trucs qui m'a fait ticker d'ailleurs dans ce que tu as dit c'est que tu as dit il y a des positions du gouvernement qui n'ont pas été appréciées.
Et donc nous avons subi les attaques des doses.
Mais quel est le rapport entre Dr Libbe vous êtes une entreprise privée et les décisions de l'éteint.
C'est assez rigolo mais il n'y a pas que nous qui sommes dans ce cas là c'est en fait ça peut être un outil pour des activistes ou des pays.
Qui veulent déstabiliser le gouvernement en place ou décrédibiliser des choix qu'ils ont fait.
C'est ça c'est pas juste faire tomber Dr Libbe ça n'a aucun intérêt c'est une attaque par rebond si tu veux.
Comme vous avez la solution choisie par le gouvernement et du coup décrédibiliser le gouvernement.
Par ricochet en fait.
Exactement.
Est-ce que vous êtes le plus gros acteur de.
En tout cas pendant la campagne de vaccination oui on était avec encore une fois d'autres solutions françaises aussi qui avaient été retenues par le gouvernement.
Parce qu'on n'était pas les seuls mais c'est nous qui avions la plus grosse volumétrie effectivement on a été assez mis en avant pendant cette période là.
Est-ce que vous avez on a parlé de d'attaques avec génération par IA ce qui est quand même une des premières que j'entends.
Mais on savait que ça allait arriver en tout cas.
Est-ce qu'il y a d'autres affaires un peu inhabituelle des attaques que vous avez subies qui sortent un peu de l'ordinaire.
On en a une le SMS pumping.
Alors qu'est ce que vous avez fait ça a l'air très intriguant.
Globalement l'idée c'est que nous on va envoyer des SMS notamment quand tu t'inscrives sur Dr Libbe pour s'assurer que le numéro de téléphone que tu inscrives c'est ton numéro de téléphone.
On va t'envoyer un code c'est un signe mécanique assez courant dans les inscriptions.
Et globalement il y a des attaquants qui vont automatiser l'inscription et en numéro qui vont mettre pour leur numéro à eux ils vont mettre des numéros de ligne surtaxées qui sont ouvert eux-mêmes.
Donc nous on va leur envoyer un SMS sur une ligne surtaxée où on va les appeler parce qu'on a des mécanismes où on va appeler pour des gens qui sont par exemple aveugles on propose d'appeler.
Et donc on appelle sur une ligne surtaxée et eux récupèrent l'argent.
C'est diabolique.
Oui.
Je ne sais même pas que ça pourrait marcher.
Enfin je ne sais pas mais en fait quand tu le dis c'est le c'est le logique mais je me suis toujours dit que les services automatisés.
Et bah ils avaient pas la surtaxe enfin je ne sais pas mais c'est une attaque qui est super vieille c'est le principe des numéros surtaxées il y a quelques années tu recevais des SMS on te demandait d'appeler un numéro.
T'appelles toi tu payes la communication et le revenu qui est généré il y en a une partie qui est donnée à l'opérateur et l'autre partie qui revient à celui qui achète des numéros.
C'est un moyen assez simple de se faire de l'argent.
Et là on en a eu pas mal l'année dernière sur ça.
Donc l'idée c'est comment tu filtes parmi les milliers et les milliers d'inscriptions qu'on a tous les jours les numéros surtaxées donc il y a des libres qui font ça qui te disent tel numéro et potentiellement surtaxée.
Et après c'est comment on réagit est-ce qu'on bloque ce numéro l'IP le pays le machin enfin voilà.
C'est quand même fou que la seule solution ce soit de faire des listes enfin qu'il y a des libres qui soient spécialisés à lister tous les numéros surtaxées.
C'est Google qui fait ça c'est marrant.
Un libres fun lib number qui s'appelle.
Ok sympa on avait des chèques quand même.
Il pourrait tout se commencer par 08 par exemple.
En fait on pourrait se dire qu'on va limiter ça au pays dans lesquels on opère etc.
Mais dans l'effet c'est impossible parce qu'on a des praticiens ou des patients qui se baladent un peu partout ou qui vont avoir un numéro parce qu'ils sont vacances pendant je ne sais plus de Jean Bétis 4 mois en Thaïlande.
Il peut absolument prendre un rendez-vous quand ils reviennent.
Voilà c'est des cas d'usage.
Il ne faut pas embêter ces gens.
Et inversement des touristes qui viennent en France ils ont des numéros étrangers du coup.
Ouais et des schémas très étrangers.
Non mais c'est sûr que tout est toujours plus compliqué de façon que sur le tableau blanc.
Je vous propose maintenant parce qu'on a fait un état d'allure justement de votre quotidien finalement de toutes ces attaques qui font des petits coups de stress mais qui ne sont pas non plus à vous empêcher de dormir.
Je vous propose de revenir sur pour le coup la plus grosse siméritat à laquelle vous avez dû faire face et nous expliquer un peu c'est quoi les coulisses d'une vraie bonne crise.
Tout commence donc en juillet 2020.
Le 20 juillet.
Le 20 juillet 2019.
J'étais pas là mais j'ai lu quand même parce que du coup j'ai les compte rendus, les postes mortels parce qu'on me dit tout ça.
Et justement on est en plein été juste après le confinement jusqu'ici tout va bien sur la plateforme.
Quelles sont les premiers signes qu'il y a un problème et dans quelles conditions vous êtes quand vous vous en rendez compte.
Alors en fait ça a été détecté de manière automatique parce qu'on a quand même ça fait partie des outils de la Blue Team par extension mais on a beaucoup de choses qui surveillent le trafic anormal.
Et on a notamment un outil qui va générer des codes d'erreur HTTP spécifique quand on va avoir trop de requêtes.
Ça quand on en voit trop dans un temps très court ça fait sonner des alarmes automatiques.
Donc c'est comme ça qu'on l'a détecté ça a été détecté à deux heures et quart du matin je crois.
Et ça ça déclenche automatiquement une crise.
Et donc ça ça sonne, il y a un téléphone qui sonne en gros.
Il y a quelqu'un qui se réveille et qui regarde ce qui se passe.
Oui parce qu'après on a de la strainte, il y a des astrantes de niveau 1, niveau 2, niveau 3.
Si dans l'équipe il y a personne qui répond à la fin moi je suis réveillé.
Ok.
Ça c'est sûr.
Ça ne arrive pas souvent mais ça arrive.
Mais du coup on a une astrinte qui tourne et donc du coup toutes ces alertes là.
En journée on a un outil qui s'occupe que de ça.
Qui tourne.
Et la nuit enfin en heure non ouvrée on a quelqu'un qui est d'astrinte sur toute la semaine et qui a le droit de réveiller n'importe qui dans la boîte s'il a besoin.
Ok.
Donc ça c'est le début.
Ça c'est le début.
Il y a une alerte quelque part que il y a quelque chose d'anormal.
Il y a beaucoup d'erreurs sur très peu de temps.
Il y a d'un coup un pic de beaucoup beaucoup d'erreurs.
Et en ce cas là qui est le premier à agir dans cette histoire et qu'est ce qu'il faut faire en haut ?
Bah là vu que c'est une alerte qui est générée par un outil de sécu c'est quelqu'un de l'équipe sécu qui va aller regarder.
Et il va comme, il ou elle va commencer à faire l'analyse des logs parce que du coup on a les logs qui sont remontés en même temps que l'alerte.
Et en creusant on va s'apercevoir qu'il y a une certaine logique business qui est utilisée.
Et là c'est pas le rôle de l'équipe sécu de maîtriser 100% la logique business qui est portée par le logiciel.
La logique business étant d'utiliser une fonctionnalité A qui va appeler une fonctionnalité B et puis si tu injectes un truc qui vient de C
tu as un résultat qui est Z par exemple.
Nous on connaît pas ça forcément par coeur.
Mais par contre on connaît tous les...
Les briques.
Toutes les URL qui sont appelées pour le dire de manière simple.
Et quand on voit des combinaisons un peu bizarres on va commencer à se poser des questions.
Donc ça c'est ce qui a été fait par l'analyse sécu.
On a vu OK URL, enfin endpoint a été appelé par ça.
Ça a été l'heure un nombre de fois assez inconsequent.
Et donc là du coup on fait appel au dev qui sont les propriétaires de cette fonctionnalité là.
On leur demande mais qu'est-ce qu'il y a derrière quoi.
C'est toujours 3 heures du mat' ?
Non il se passe un peu de temps.
Le temps de remonter la piste.
En fait le temps de l'analyse c'est un peu long.
Salut ! Si vous appréciez Ender Score vous pouvez nous aider de ouf !
En mettant 5 étoiles sur Apple Podcast, en mettant une idée d'inviter que vous aimeriez qu'on reçoive.
Ça permet de faire remonter Ender Score.
Telle une fusée.
Et donc vous allez voir ces développeurs.
Qu'est-ce qui vous répondent ?
Effectivement c'est pas très normal ce qui se passe.
Qu'on a une IP qui va en creusant.
On s'aperçoit qu'il y a un compte qui a 10 000 rendez-vous.
On se dit c'est bizarre, il y a quelqu'un qui s'est créé 10 000 rendez-vous.
C'est assez bizarre, on comprend pas l'intérêt.
En creusant on se rend compte qu'il s'est pas créé 10 000 rendez-vous,
il s'est approprié 10 000 rendez-vous.
Mais qui à la base n'était pas les siens.
Là ça commence.
Là ça commence à être chaud.
Après il faut trouver pourquoi il y a ces 10 000 rendez-vous là et pas plus.
C'est pourquoi cela.
En fait c'était des rendez-vous qui étaient dans un état un peu particulier.
C'était des rendez-vous qui étaient pris pour des gens qui n'avaient pas de compte doctolibre.
Ils étaient dans un état intermédiaire où il y avait bien une heure de rendez-vous,
bien un praticien, mais en fait il n'y avait pas de compte doctolibre.
Il y a un truc qui est assez important de rappeler.
En gros chez Docto tu as 3 moyens d'obtenir un rendez-vous avec un praticien.
Soit tu as un compte sur l'appli, tu cherches et tu trouves un praticien.
Facile, le rendez-vous il t'a assigné, il a signé un praticien, super simple.
La réciproquée est vraie, le praticien peut t'assigner un rendez-vous parce que tu as un compte
et tu as le troisième cas qui décrit Clément.
Ou en fait le praticien crée un rendez-vous pour quelqu'un qui n'a pas de compte doctolibre.
Et donc dans ce cas-là ce qui se passe c'est que tu reçois un mail
et quand tu cliques sur le lien qui est dans le mail, le rendez-vous t'est assigné automatiquement.
Même si tu n'as pas de compte.
Et donc c'est un genre de cas spécifique.
C'est un cas qui est un peu particulier donc c'est pour ça que ça ne concernait pas l'ensemble des rendez-vous doctolibre.
Il n'était pas eligible à cette vulnérabilité.
Mais en fait dans le code quand tu regardes il y a un truc qui dit
on reçit ce rendez-vous là et pas assigné à un compte.
La vulnérabilité est là, tu vas assigner le rendez-vous
qui n'a pas de compte lié au compte courant.
En fait il se trouve qu'il y a un pirate, ce qu'il a fait c'est qu'il s'est rendu compte que la logique était celle-là
et il a cherché l'ensemble des rendez-vous, il a parcouru l'ensemble des rendez-vous,
un grand nombre de rendez-vous on va dire.
Au hasard, enfin au bout de force.
Ouais au hasard c'est du bout de force, typiquement du bout de force et il les a parcourus
et la logique faisait que c'était le compte qui venait voir ses rendez-vous, qui récupérait l'en-des-vous.
C'est comme ça qu'il a réussi à accéder à des infos.
Et ça marchait très spécifiquement sur cela.
Et ça marche avec que sur cela.
Et donc d'où le chiffre, enfin d'où le nombre 10 000.
Alors c'est moins que ça, c'est moins que ça.
6 466, on a le même rémonie.
Rendez-vous.
Et moins de, encore moins de passion.
Ouais il y a beaucoup moins de passion.
Donc juste pour expliquer un peu pour tous ceux qui ne travaillent pas forcément dans la sécurité,
là vous commence, à mon avis, le, voilà il y a un petit goût qui commence à arriver,
le stress commence à pas monter parce que j'imagine que étant en plus dans une boîte de la santé
qui met en relation des gens dans la santé, il y a une attention toute particulière à l'intégrité de la donnée
et le fait qu'il n'y ait pas de fluide et tout.
Donc à moins, enfin, est-ce qu'à ce moment-là vous balisez quand même un peu ?
On a des procédures, alors on ne balise pas dans le sens où tu le conçoies je pense.
Parce que pour que la gestion d'une crise ça marche bien, si tu n'as pas de procédure,
c'est là où tu commences à être vraiment pas rassuré.
Donc on a quand même beaucoup de procès qui décrivent ce qu'on doit faire, c'est taillé, etc.
Donc de ce point de vue là, il n'y a pas de stress et d'ailleurs s'il y a quelqu'un qui rajoute du stress
à une situation qui n'est pas normale, ça se passe en règle générale pas bien.
Donc on a des gens qui sont suffisamment seniors pour gérer ce genre de crise
et puis on a des niveaux d'escalade, c'est sur un truc comme ça,
bah nos fondateurs sont au courant donc on mobilise pas mal de gens.
Évidemment il y a une célule de com qui va être mobilisée parce qu'il y a des actions de communication,
on a des déclarations réglementaires à la faire, on a des dépôts de plainte à faire à la police, etc.
Mais encore une fois pour nous, équipe SQ et équipe Tech,
l'objectif c'est de s'assurer qu'une fois qu'on a compris ce qui se passe,
et donc ça c'est ce qu'on doit faire le plus vite possible,
c'est qu'on soit en capacité d'arrêter ce fonctionnement le plus vite possible.
Pour ça on se donne en règle générale un quart d'heure, c'est la maitrique qu'on essaie de tenir.
Parfois on prend plus de temps parce que l'analyse est plus long, mais globalement c'est ça.
Donc ce qui s'est passé, en gros l'incident dans toute son intégralité,
la détection jusqu'à la fin de la cellule de crise, ça a duré de 2h15 du matin jusqu'à 21h00.
Donc c'est 19h00 de boulot non stop avec pas mal de gens,
et puis après des effets un peu rebonds derrière parce qu'il y a pas mal d'échanges.
Mais à 14h00 le patch était testé, il a été poussé en production,
et on avait mis des règles qui empêchaient déjà quelqu'un d'appeler ces endpointes vulnérables.
Avant ça on avait même bloqué le compte.
Oui le compte avait été bloqué.
Encore avant, on a identifié qu'il y avait un seul compte qui s'attribuait beaucoup de rendez-vous,
le compte on l'a bloqué hyper vite, et après le patch il a été fait...
Le patch a été testé à 14h00 et puis ça a été relotté après dans la foulée.
Ok.
Mais la durée de cet incident au global c'est 19h00.
Oui en fait c'est super court.
Mais à mon avis du coup c'est une période où il faut être efficace.
Alors on a une règle, c'est quand il y a un truc comme ça,
on a le droit de mobiliser n'importe qui dans la boîte,
et tout le monde pose le silo, la seule urgence c'est de traiter ce truc là.
Pour te dire ce qu'on s'en fiche quoi.
Le patch a été écrit par un des fondateurs de Dr. Lib.
C'est dingue, parce que peut-être que ça concernait l'historique,
enfin quelque chose qui était là dès le début, et auquel il a participé,
il y a une raison ou ce qu'il a fait ?
Non même pas, pour le coup même pas, mais c'est un des fondateurs techniques du coup,
et c'est lui qui a fait le patch.
C'est très bonne anecdote effectivement.
Et donc bon évidemment tu parlais de la procédure,
dedans il y a patch-hélico de le plus possible pour qu'il ne se produise pas.
Qu'est-ce qu'il y a d'autre ?
Parce que j'imagine que...
Sur la partite, ça s'arrête assez vite.
Une fois qu'on a compris la logique de l'attaquant,
qu'on sait ce qu'il faut corriger pour pas que ça se reproduise,
après les actions...
On a identifié les impacts qu'elles étaient,
les passions qui avaient été touchées,
combien qu'elles étaient les organisations
à laquelle ils appartenaient.
Donc il y a un peu de data crunching,
et après la crise continue,
on fait la com, on fait les déclarations,
on appelle la police, on appelle le BFTI, le CLCTIC,
donc c'est les organismes cyber,
de la gendarmerie et de la police,
et on leur partage les éléments
puisqu'ils vont nous aider à faire des investigations,
savoir d'où vient l'attaque, etc.
Et après évidemment, une fois que tout ça s'est passé,
et que ça a pas tombé, on va se dire,
qu'est-ce qu'il faut qu'on a meilleure,
donc c'est les fameuses actions de post mortem,
dont parlait Clément tout à l'heure,
qu'est-ce qu'on va vouloir mettre en place
pour que l'occurrence d'un truc comme ça
devienne de plus en plus faible et tendre vers zéro.
Et donc là, il y a plein de solutions,
tu vas vouloir revoir des mécanismes de protection de ton code
pour que ça soit plus fin,
que ça te remonte des alertes plus vies,
tout que ça soit moins sensible à une erreur de programmation,
toi typiquement que t'es pas de nouvelle logique business
comme ça qui réapparaissent.
Donc à l'époque, on avait à peu près 20 000 tests
de bout en bout dans notre chaîne d'intégration continue.
Aujourd'hui, on a 55 000.
Donc ça, c'est une mise en prod.
En gros, quand on valide la release,
ça passe dans un cycle de tests.
Il y a 55 000 tests de bout en bout qui sont joués,
ça dure 45 minutes, c'est poussé en prod d'après.
Donc en fait, pour expliquer,
c'est une moule inèque qui se coule le truc dans tous les sens.
Oui, pardon.
T'as des tests vécus, t'as des tests fonctionnels,
enfin il y a pas mal de tests.
Donc ça, c'est une des conséquences de cet attaque.
Mais on aurait quand même augmenté le nombre de tests
parce que le nombre de fonctionnalités augmente.
Oui, oui.
Justement les tests augmentent avec.
On a investi un peu plus sur les primes qu'on offre dans notre bug bounty.
Donc chaque année, on essaie d'augmenter les montants.
Alors juste pour expliquer en quelques mots,
en quoi ça consiste.
Bug bounty, tu payes des pirates pour qu'ils te remontent.
Alors des white hats, on appelle ça des pirates gentils,
pour que globalement ils te remontent des vulnérabilités
et en fonction de ce qu'ils ont trouvé,
tu vas les payer plus ou moins.
Là, pour donner une idée,
un pirate qui arrive à prendre le contrôle d'une des machines de Dr. Lib,
on a une variète d'environnement dans tous les serveurs de Dr. Lib,
s'il arrive à nous la donner.
C'est un flag secret, quoi.
C'est un flag secret.
Et une adresse mail, il est créé à 7 adresse mail,
il va gagner 50 000 euros.
Et donc justement,
il y a vraiment ce qu'une des effets espérés,
c'est qu'on augmente les primes.
Et donc la probabilité que la fête tombe dans les bonnes mains
devient plus importante que l'inverse.
C'est ce que font Google, Apple.
Bon, ils sont sur des montants bien supérieurs en autre, évidemment.
Mais c'est vraiment une des approches.
Et après, il n'y a pas que ça.
On a mieux redéfini aussi ce qu'on appelle les composants sur étagères.
Donc en gros, dans notre organisation tech,
on a un domaine,
parce que c'est comme ça qu'on a organisé.
Donc ça compte, c'est des développeurs globalement,
qui travaillent conjointement avec la SQ
pour créer des composants standardisés de sécurité
qui sont donnés à toutes les autres équipes de tipe.
En fait, le but du jeu, c'est...
Tu ne connais rien en SQ.
Tu ne poses pas la question.
Le truc qu'il faut que tu utilises pour faire X,
il est là sur étagères, tu le prends.
Rien ne te parle à la roue s'il te plaît.
Exactement. Tu lis la doc, tu l'impléments comme ça, ça va marcher.
Nous on conseille ça.
Nous on dit à nos développeurs,
mais regarde, dans la boîte d'outils,
il y a tel truc que tu vas utiliser, c'est hyper simple.
Et se faisant, tu réduis la surface et la probabilité de...
En fait, tu sais juste que t'as appris,
t'as quatre focalisés sur le composant qui a été développé.
Tu sais que s'il est utilisé,
et donc du coup,
son utilisation, tu la vérifies dans les tests, etc.
Donc ça devient un cercle assez virtueux.
On a augmenté aussi la taille de l'équipe SQ,
mais parce que l'équipe tech a augmenté,
donc la charge de travail augmentée,
c'est pas vraiment directement lié à l'attaque.
Et puis, on s'amuse maintenant avec la Red Team et la Blue Team,
ça c'est l'outil interne qui est le plus prometteur pour nous,
parce que c'est des gens qui connaissent très bien le produit,
ils connaissent très bien l'infra.
Donc du coup, ils ont un avantage par rapport aux attaquants.
Et là, si ils arrivent à déjouer les mécanismes de protection,
on va faire des travaux super vite.
Ouais, franchement, ça se mettière trop marrant.
Franchement, c'est vraiment marrant.
Mais on dit parfois que d'être dans la Blue Team,
ça peut être tout aussi fun.
Il y en a qui sont rogues,
il y en a qui sont Blue Team,
et tant en tant, ils nous lisent pas et ils passent Red Team.
C'est vrai, on a quelques schizophrènes.
C'est moche.
Et alors, pour faire un petit peu le bilan,
cette attaque qui est arrivée, c'est ce qu'on a dit.
Ce que j'invite les gens à faire,
c'est quand ils voient des histoires comme ça,
c'est pas de se dire qu'il y a eu une attaque,
c'est pas bien.
C'est plutôt de se dire, ok,
comment ça a été géré, comment ça a été anticipé,
parce que la réalité, c'est que des attaques,
ça arrive tout le temps chez tout le monde.
Si on n'en entend pas parler, c'est probablement louche d'ailleurs.
Mais ce qui est important, c'est en combien de temps on réagit,
qu'est-ce qui a été mis en place,
comment on s'améliore, etc.
Et est-ce qu'on est déjà transparent avec la base de clients ?
Je me imagine que, par exemple,
faire une disclosure, comment dire,
je ne sais pas quelle traduction,
mais ça fait partie du procès, justement, d'aller...
C'est même une obligation, en fait.
C'est un droit fondamental des utilisateurs.
Donc on est obligés de le faire.
Et donc ça passe par un mail qui explique,
très précisément, ce qui a potentiellement été compromis.
On va expliquer à quelle heure,
quelle typologie de données,
si elle est donnée impliquée, etc.
On va faire la même déclaration à la CNI
auxquelles c'est arrivé,
pour la partie protection de données personnelles.
Encore une fois, s'il y a de la données personnelles impactées,
service de police, etc.
Et, hors question, qui me brûle l'élève,
mais peut-être que vous n'aurez pas la réponse,
c'est toujours ce qu'on a envie de savoir.
Est-ce qu'on sait un peu d'où ça vient ?
C'est-à-dire, qui aurait pu faire ce genre de truc ?
Ouais, on sait.
On sait.
On pense savoir.
On a des idées sur des hacker-éthiques, mais...
Ah oui, donc ce qui serait plutôt le bon scénario.
Les hackers-éthiques n'ont pas été très sympas,
parce qu'ils n'ont pas vraiment joué le jeu de l'éthique,
pour le coup.
Ok.
Le compte a été créé, le compte qui a rassemblé 10 000 rendez-vous.
Oui, mais il y en a 6 000, enfin...
Ouais, 6 000.
Mais globalement, ce compte-là, il a un numéro téléphone,
une adresse mail, on a écrit à l'adresse mail,
on a laissé des messages sur le téléphone,
on n'a jamais eu de retour,
on a assez perçu dès qu'il est valide.
Vous avez des valides, mais en tout cas...
Il y a des chances que ce soit vraiment laissé.
Aujourd'hui, on le sait, parce qu'on a eu à faire
cette personne ou ce groupe de personnes-là,
plus récemment, sur un autre sujet.
Donc maintenant, on collabore avec eux.
On dirait valide.
Ouais, j'imagine.
J'ai jamais été confirmé officiellement, mais on...
Ok, vous avez des bonnes raisons de penser,
on a un très très beau faisceau de preuve.
Et donc, cette personne a potentiellement mal géré
en tout cas, il met sa comm à ce moment-là,
parce que dans l'effet, c'est quand même...
C'est le scénario vachement rassurant.
Si ça vient d'un pays étranger,
ça pose quand même de sérieuses questions.
Là, c'est le scénario pour les clients,
le plus rassurant, ça veut dire que dans l'effet,
c'est donner...
On a peu de chances de refaire surface.
On les a jamais revus.
On a des mécanismes de surveillance, effectivement,
sur ce qui est Darknet et compagnie.
Pour l'instant, on les a jamais revus, en tout cas.
Mais c'est quand même curieux, ça part,
parce que normalement, si on...
On a des chances de faire des choses,

et ça, c'est sûr, le truc, c'est pour avoir
un prime de Bugbootie, des choses comme ça.
C'était plus des conférences, des trucs comme ça.
C'était plutôt pour démontrer quelque chose
dans une conf...
Deux haqueurs éthiques qui étaient très très connues pour le coup.
D'accord.
Ok. Pas mal, effectivement,
c'est pas un scénario à notre main.
Et là où ils n'ont pas joué le jeu,
c'est que vraiment, on savait quasiment
depuis le début que c'était eux, on les a contactés,
et ça a été l'être morte pendant...
Trois ans.
Maintenant, on discute avec eux.
Mieux vautaires que jamais.
C'est la beauté de... Ouais, c'est la belle finalité de l'histoire.
On va dire ça.
En tout cas, si vous trouvez des trucs chez Doc Tolib,
qu'est-ce qu'on peut inviter les gens à faire ?
Bugbootie.
Allez voir le Bugbootie.
Ouais, on a une page sur le site.
On utilise aussi une norme, ça s'appelle Security.exe.
DocTolib.fr slash Security.exe.
Vous allez trouver toutes les informations.
C'est un fichier pour les haqueurs, en fait.
Ouais, c'est une norme, en fait.
Donc, il y a une adresse mail, des URL, la clé PGP, voilà.
Et puis, on a tout le programme de Bugbootie
qui est décrit avec les conditions d'acceptation des bugs.
Comment on vous en drôle, à quel moment on vous rémunère, etc.
Très cool, très cool.
Petite question supplémentaire.
On a beaucoup parlé ici d'attaques virtuelles,
entre guillemets à distance.
Est-ce que vous avez pensé également
à des scénarios d'attaques physiques,
d'intrusions littéralement dans les data centers de l'entreprise
ou chez vous, du log-picking qu'on retrouve ?
C'est vrai ?
Bah toi, non, c'est...
C'est un truc qu'on joue régulièrement.
On joue deux attaques, en fait.
On joue ce qu'on appelle le test du stagiaire.
Donc, c'est juste pour vérifier que des accès qu'on va donner
sur un compte qui a très peu de privilège.
Donc, on mandat une société pour faire ça.
On leur donne un ordinateur avec un compte vraiment
avec le plus bas privilège et on regarde ce qu'ils sont en capèce de faire.
Donc ça, on le fait une fois par an.
Et on fait des audits de physique de nos bureaux.
Donc, le dernier qui était assez marrant,
c'est celui qu'on a fait à Berlin.
Et là, ouais, ils se sont amusés,
donc ils se sont déguisés en agent de ménage.
Ils ont réussi à faire vraiment croire aux gens
qu'on a à l'accueil là-bas,
qui leur manquaient un badge,
donc ils ont récupéré un badge,
qu'ils ont dupliqué après.
Ils se sont baladés dans les locaux,
ils ont recréé des clés.
Et ils sont allés jusqu'à s'amuser
à rentrer dans une salle où on a un coffre-forme
et qui stocke des papiers...
— Légaux. — Des papiers légaux,
quoi, en gros des contrats, des choses comme ça.
— Ou des déclarations... — Pas mal.
— Bonne prise. — Ils ont pas réussi.
— Alors, ils ont pas réussi.
Mais par contre, ce qui était assez marrant,
c'est qu'ils ont mis de l'ancre ultraviolette sur les touches.
— Pour prouver le passage. — Non, non.
Ils sont revenus de l'an demain.
Ils ont récupéré donc la combi...
— Ils ont récupéré avec l'angentiviole
l'étendue des chiffres qui sont utilisés pour la combinaison.
Mais vu qu'il y en a beaucoup,
ils n'ont pas réussi à retrouver le code.
— Ah, débat, mais je connaissais même pas cette technique-là.
Donc en fait, on en prend un clavier.
— Je suis pas un clavier avec de l'ancre ultraviolette.
— Donc on ne connaît pas le code secret.
— Il y a des traces de doigts.
— Tu veux ouvrir le coffre, c'est ton coffre.
Tu vas taper la combinaison.
Donc 4, 6, 8, 12 chiffres, peu importe.
Et le lendemain, tu reviens avec ta lampe ultraviolette
et tu regardes où il y a les traces d'empreinte sur les numéros.
— Mais t'as pas l'ordre.
— Mais c'est du gilet.
Ça paraît évident maintenant que vous dites.
Et donc effectivement, après, on fait des chaînes.
Je sais plus quel est leur nom.
— Marc-off.
— C'est Marc-off, oui.
— Ouais, c'est Marc-off.
— On essaie de faire une chaîne qui contient l'ensemble des codes
et avec un peu de chance, s'il n'est pas trop long, ça fonctionne.
Mais là, ça n'a pas marché.
— Plus il est long, plus ça va être.
— Il s'apprend du temps.
— Exactement.
— Très stylé.
— Voilà, ça, c'est des trucs qu'on fait.
— Donc, en gros, on a des trucs qui sont très importants.
— Ouais, on a des trucs qui sont très importants.








— Ouais, on a des trucs qui sont très importants.
— Ouais, on a des trucs qui sont très importants.
— Ouais, on a des trucs qui sont très importants.
— Ouais, on a des trucs qui sont très importants.
— Bien, dernièrement, ils ont fait quoi ?
Ils ont mis un rogue access point wifi dans les locaux
pour voir si on arrivait à choper quelqu'un qui s'était fait à voire.
— Donc ça, qu'est-ce que c'est pour expliquer ?
— En gros, l'idée, c'est de...
— Un wifi interne ?
— On a un wifi interne avec une l'autante classique.
Et l'idée, c'est de créer un SSID
qui ressemble très, très fortement au SSID...
— Donc le nom du wifi ?
— De Docto.
Et ils ont mis un Raspberry Pi dans le faux plafond
qui générait un faux wifi.
Ils ont regardé si il y a des gens qui se connectaient dessus.
Donc là-dessus, on a beaucoup de chance, je trouve,
parce qu'on a une population qui est assez bien éduquée sur la sécurité.
— Bah ouais, parce que franchement...
— Les gens n'ont pas fait gaffe.
— Un wifi avec pile de bon nom,
une connexion automatique, potentiellement sur certains appareils,
une petite page de connexion...
— Alors tu ne le verrais pas, mais tu imagines...
Enfin, imagine que le nom du wifi, c'est Doctolib.
Tu mets un espace devant.
Si tu fais pas gaffe, en fait,
t'as vraiment l'impression que c'est Doctolib de wifi
ou tu le mets derrière.
Le SSID, c'est vraiment pas le même.
Mais pour toi, humain, t'as vraiment l'impression que ça le mène.
Donc ça, pour le coup, les gens sont assez vigilants,
parce qu'ils ont l'habitude des méthodes d'authentification.
On les embête beaucoup avec du phishing,
on leur envoie des mails de partout.
Donc voilà, on...
Il y a un truc...
Le dernier truc qu'on a fait, c'est qu'on a imité Pierre,
notre CFO, on a envoyé des trucs, des gens,
en disant, vas-y, il faut que tu signes ça, machin.
Évidemment, ils se sont fait avoir.
On fait plein de trucs comme ça.
— Ils se font piéger tout le temps.
— Non, mais c'est hyper intéressant, en tout cas,
de voir un peu la gamme, de comprendre que c'est pas...
Il n'y a pas de recette magique, entre guillemets,
qui fait qu'on ne se fait jamais pireter.
Mais c'est un peu tout un système, en fait,
qui commence dès le développement
avec toi, ton métier, en ayant des bonnes pratiques,
qui va jusqu'à le moment où il y a la crise,
comme en faisant ce qui soit la plus courte
et quel est le moins d'impact possible,
jusqu'à après, comme on s'améliore et comme on a des process.
Et ce qui est le plus intéressant, je trouve,
c'est pas tellement que vous ayez des attaques,
ça en se doute avec votre exposition.
Mais c'est surtout que vous avez tout préparé,
en fait, pas tous les scénarios, mais...
Vous n'êtes pas tout, mais en fait...
Vous n'êtes pas du tout au terrain inconnu
quand il y a une crise qui arrive, quoi.
Ouais, le vrai bon résumé de ça,
c'est les militaires qui l'ont inventé,
c'est le concept de défense en profondeur.
Tu regardes les forteresses médiévales,
le donjon, il n'était pas juste derrière le pont-levis.
C'est ce qu'on fait pareil en informatique, en fait.
Une bonne aller à vie, c'est que tu ne protégerais pas ta maison
juste avec une porte d'entrée et tu laisserais toutes tes fenêtres ouvertes.
Tu vas fermer tes fenêtres, tu vas fermer ta porte d'entrée,
tu ne vas pas laisser tes bijoux ou ton cache
juste derrière la porte d'entrée s'il y a quelqu'un qui l'a pédée, etc.
Donc l'analogie pour la sécu c'est vraiment la même.
Il faut que tu rendes le plus difficile et le plus long possible
pour un attaquant d'aller chercher ce qui coûte vraiment énormément de valeur.
Pour qu'il aille voir d'autres personnes.
Oui, il faut rendre l'attaque le plus pénible possible,
pas impossible, car ça n'est pas possible...
Impossible d'être impossible.
Le plus long, le temps que nos alertes réagissent
parce qu'on ne connaît pas tout, les attaquants,
il y a une bonne maxime pour ça, c'est
les attaquants ont besoin de trouver une fois un truc qui marche,
les défenseurs ont besoin d'être 100% du temps dans le vrai.
Ce qui est impossible.
Et donc, ce qui compte c'est de faire en sorte que l'attaque soit tellement pénible
qu'elle n'est plus rentable aussi.
Pas rentable ou qu'on ait vraiment le temps de la détecter.
Je reprends l'exemple de la maison.
Tu casses une porte si tu as une alarme,
tu sais qu'elle va sonner à un moment,
si ton alarm n'est pas sur la porte mais que tu l'as mis aute part,
c'est exactement le même principe pour nous.
On a des alarmes un peu partout, pour toutes les portes qu'on a mis en place.
Et plus t'en fais sonner...
Il se fasse goller par une des alarmes.
Très très cool en tout cas, c'est vraiment passionnant.
Et effectivement, c'est très cool de faire ce genre de discussion
parce que ça permet aux gens de réaliser que,
souvent, la partie de défense, elle aurait été bien plus intéressante et complexe.
Les deux sont passionnants.
Mais il y a un côté un peu moins sexy,
à la défense, qui veut moins arriver,
on voit moins ça dans les films,
alors que en réalité, c'est passionnant.
C'est construit d'une forteresse,
et c'est vraiment un métier très cool.
Pour donner un exemple,
on a des projets qui utilisent de lia et des choses comme ça.
Je travaille sur des LLM et on en parle souvent en underscore.
Je sais.
On a des concepts qu'on est en train de regarder.
Ce qu'on appelle les Slipper Agents.
C'est le principe de les agents d'ormand dans le milieu de l'espionnage.
Le principe, c'est d'apprendre à ton modèle,
à réagir à des mots-clés.
A partir du moment où il y a tellement de mots-clés dans le prompt,
tu vas générer du code qui est pas sécure, par exemple.
Et du coup, c'est très compliqué à auditer
puisque tu sais pas quel est le mot-clé.
Quand tu vas avoir les poids, tu ne verras rien.
Tu n'as pas vraiment déterministe ce genre de code.
On a des concepts qui sont hyper sexis,
sans pour l'instant de recettes sur comment gérer ça.
Tu pourrais avoir des IA, des assistants pour développeurs, en fait,
qui, la plupart du temps, marchent nickel,
mais de temps en temps, de manière un peu aléatoire,
créer des vulnérabilités.
Là, dans l'ina-model open-source,
qui aurait été backdouré avec ça,
qui est utilisé par tout le monde,
c'est à vous.
Dans l'ina-model open-source, il y a une backdoor.
Là, typiquement, dans le papier qui a exploré ce genre de trucs,
les gens qui ont fait ça, c'est les gens qui font Claude,
qui ont exploré ce concept.
Et typiquement, ils ont fait ça sur la date.
Ils ont dit que si on en 2023, tu fais tout normal,
2024, la date est souvent dans le contexte que tu vas donner à ton LLM.
C'est dingue.
2024, il fait n'importe quoi.
C'est dingue.
Tu pourrais créer un modèle de langage
qui marche nickel jusqu'à une date, le diteil,
ou il fait n'importe quoi.
Il part en cacaouette, il met des vulnérabilités partout.
C'est incroyable.
Donc on explore des trucs sexis aussi.
C'est clair.
Je pense que ça m'a donné envie d'en parler.
Peut-être qu'on te rappelera pour les chroniques.
Mais en tout cas, merci d'avoir joué le jeu.
Qu'est-ce qu'on peut conseiller aux gens,
si ça ne les a jamais intéressés,
soit pour se former à ça
ou pour poursuivre des endroits,
est-ce que ça recrute ?
Je sais, doctor, on recrute toujours beaucoup de gens.
On ne reprend pas forcément que ses cus.
Mais en ce moment, beaucoup côté tech,
donc des développeurs intéressés
et qui ont un bon bac grand de ses cus, c'est toujours bienvenu.
On prend aussi des alternants, des stagiaires.
On a des liens avec les pitas aussi, notamment.
Donc on a un cursus, on a une major sur la dernière année santé
qu'on co-construit avec les pitas.
Donc il y a un site, Carrières sur Dr. Lib, allez-y.
Après, nous, on est joignés à Twitter, LinkedIn, à peu près partout.
Si vous voulez discuter avec plaisir,
on dit, vu le gras, peut-être pas toutes les recettes de cuisine.
Mais toujours avec plaisir.
Trop cool.
C'était vraiment très intéressant.
Merci à vous d'être venu.
Et puis j'espère que le channel vous avez apprécié.
Ce n'est pas tous les jours, je vous le dis.
Donc n'hésitez pas à envoyer du love à Dr. Lib d'avoir, voilà,
de cette un peu jetée à l'eau avec nous.
Et si vous, vous avez vécu des trucs dans votre entreprise,
des crises, des trucs intéressants à raconter,
qu'on n'ose pas forcément raconter,
sachez que ici, il y a un bon endroit pour le faire.
Donc n'hésitez pas à venir et à partager, comme Dr. Lib l'a fait,
leurs expériences pour qu'on apprenne tous des trucs tout simplement.
Et puis sur ce, je vous souhaite une excellente soirée.
Et à très bientôt sur un Escort.
Tchuss !