A au fait maman merci pour le conseil.
Ah oui lequel ?
Ouvrir un plan d'épargne retraite à la Carac.
Ah oui.
En 2024, le fonds euro de la Carac m'a rapporté 4%.
Mais oui la Carac s'occupe bien de nous et depuis longtemps.
Et nous avons un conseiller en patrimoine dédié qui change tout.
Et jusqu'au 31 mars, la Carac me donne 50 euros si je verse 2000 euros.
Et ça peut aller jusqu'à 1000 euros offert.
A la Carac, on se bat pour vous.
Les taux passés ne préjuchent pas des taux à venir.
Taux net de frais avant prélèvement sociaux.
Offre soumise à conditions, plus d'informations sur carac.fr.
Mutuelle soumise au livre 2 du code de la mutualité.
On reçoit ce plateau Pierre.
Comment tu vas ?
Hello tout le monde, ça va et vous ?
Bienvenue.
Bienvenue.
Tu m'as dit que c'était la première fois sur Twitch.
Tu as fait quoi ?
Un peu stressé mais ça va on va essayer de présenter aux gens ce que j'ai pu faire.
Tranquille.
T'inquiète pas, comme je te disais, c'est une émissuconce impression.
On a tout le temps du monde.
On peut finir, surtout qu'on n'a jamais tôt c'est à l'heure.
Il est que 20h15.
Donc on a toute la soirée.
Et voilà, je te présente Tiffany que tu as probablement vu juste avant.
Et avant qu'on rentre dans le sujet, tu es développeur ?
Ouais, développeur web.
Tu travailles sur quoi en général ?
C'est quoi un peu tes domaines de prédiction ?
Je travaille sur énormément de domaines en particulier, mais qui sont bien distincts chacun.
Ça veut dire que je peux très bien travailler sur la blockchain, sur des smart contracts, NFT, swap de token, etc.
Comme je peux travailler sur des sites web, on va dire plus classiques.
Je vais faire du front-end, des shops un peu comme Shopify et tout.
Et après j'ai fait d'autres sites un peu plus interactifs, où j'ai fait Trinity de Laylau en version digitale.
Donc c'est un album que j'ai refait en version digitale.
C'est ce que j'ai vu passer effectivement que tu as un petit don dans la sphère rap.
Ouais, exactement.
Parce que t'as des bons clients quand même.
Tu m'as parlé de PNL aussi.
Ouais, PNL, alors ça c'était un projet que j'ai fait moi de mon côté.
C'était un projet Game Boy, du coup, qui reprend tous les codes de Pokémon à l'époque.
Donc Pokémon Père est durement sur DS.
Et ça reprend vraiment tous ces codes là où t'attends un petit perso, tu te balades et il y a des quêtes.
Et tout au long tu dois ramasser des...
Ouais, voilà, c'est ça exactement.
Et donc là tu choisis des mots NOS, donc c'est les deux rappeurs de PNL pour ceux qui savent.
Trop bien.
Et voilà, tu peux être baladé, donc il y a des quêtes à faire.
Donc chaque personnage peut...
C'est tout, vraiment tout...
Trop bien.
Tout est inspiré vraiment de l'univers de PNL, je vais vraiment repris tous les codes.
Ça marche avec d'autres versions de Pokémon, parce que moi c'était plutôt version en bleu et rouge.
En fait c'est sur un site quoi, directement.
En fait c'est une web app.
Ouais.
Tu vas sur un site et avec tes touches du clavier ou sur téléphone, il y a un petit bouton A et B et tu peux jouer directement dessus.
C'est classé pour une promo, enfin évidemment, imagine la promo de PNL c'est télécharger une rame sur Game Boy O.S.
Ça va être compliqué.
C'est juste incroyable.
Mais ouais, franchement, belle promo, ça m'étonne pas que tout le monde a kiffé.
En tout cas, il y a pas mal de gens qui connaissent dans le chat.
Et donc, qui te félicite pour ce très bon travail.
Toi tu connais le milieu du rap depuis longtemps ?
Ouais, j'écoute depuis très longtemps, vu que je suis tout petit, je suis fan de ce monde-là.
Après j'écoute énormément de musiques électroniques et tout à côté, mais le rap c'est vraiment le domaine de musique que j'écoute le plus.
Et comment ? C'est con, mais tu disais que tu es développeur web.
Tu as, quoi, conformation déjà pour faire tout ça ?
Alors, j'ai commencé vraiment étant très jeune, je devais avoir 13-14 ans, et j'ai commencé sur des serveurs garice-moi, des contours strike.
Et c'était vraiment mes premières années où j'ai commencé à fermer première ligne de code.
Et après, un peu plus tard, du coup, au niveau du bac, quand j'arrivais post-bac, je me suis dit, ok, qu'est-ce que je vais faire maintenant ?
Je n'avais pas trop à faire en orientation.
Et c'est là que je me suis dit, bon, toutes les années que j'ai fait passer devant mon PC à faire des lignes de code,
je vais essayer de les rendre professionnelles et d'avoir un truc qui me permet d'avoir un bon bagage.
Et je rejoins dans une grande entreprise, éventuellement.
Et c'est là qu'est venu l'idée du coup de rejoindre.
Donc moi, je suis à la Coding Factory, à ACIT, donc c'est à Sergi.
Et c'est une école, du coup, où on forme des développeurs.
Donc il y a le bac plus de licence et ça va jusqu'au master.
Et là-haut, en ce moment même, je suis en dernière année de master et je finis là à la rentrée.
Et en fait, pendant ce temps-là, tu as eu le temps de...
Ouais, ouais, en alternance, c'est en parallèle de mon alternance.
J'ai plein de projets persos et...
C'est pas que des projets persos, c'est aussi t'as des clients et tout déjà ?
Ouais, il y a un peu des deux. Il y a des projets persos et des projets, on va dire,
où vraiment là, c'est en tant qu'indépendant.
Et j'ai vraiment des clients qui me ruminèrent pour un projet en particulier.
C'est fou, ouais.
Comment tu fais pour avoir des clients qui sont des superstars ?
Même si...
Bon, si tu n'as pas le rap, tu peux pas savoir, mais là, les noms qu'on a donnés, c'est pas rien du tout.
Comment t'as fait toi pour avoir cette opportunité-là ?
À PNL, du coup, c'était en mode fanboy, donc c'était pas en contact avec eux.
Mais ensuite, il y a des gens de son équipe qui m'ont contacté qui m'ont dit que le jeu était vraiment cool et que ça valait le coup de le faire.
Et Lailo, c'était un peu la même thématique, mais là, c'est même allé encore plus loin.
C'est que Lailo lui-même m'a DM sur Instagram quelques mois après la sortie du site.
C'est pas trop bien.
Il m'a dit que c'était dommage qu'il m'avait pas rencontré avant,
parce qu'on aurait pu faire un truc encore plus poussé en accord avec son équipe, on aurait pu travailler sur un truc.
Donc c'est pas facile à verre, tu vois.
Voilà, mais ils ont vraiment adoré ce que j'ai fait.
Et après, j'ai pu vraiment travailler pour le coup en mode avec Daomé,
qui est un rappeur artiste français qui commence à bien prendre l'art récemment.
Et j'ai travaillé aussi avec Iqy Casboy, qui est un producteur connu pour Damso,
ou pour pas mal de productions et tout.
Et non, vraiment, tout ce milieu du rap, c'est vraiment ma passion.
Et puis maintenant, tu t'es fière du nom,
et donc je t'ai sûr que tu vas être contacté ensuite sur des projets et tout, c'est obligé.
Donc ouais, gg.
Et tout ça est pas sûr, mais ce n'est même pas en réalité ce dont on va parler pour cette partie, vous allez voir.
C'est un rapport, mais c'est pas exactement ça.
Donc comme vous l'avez vu, nous recevons aujourd'hui Pierre, qui est développeur et amateur de rap,
et à l'annonce donc d'une chasse aux trésors pour gagner des places pour un concert privé de Ninho.
Il a eu envie de faire partie des gagnants, voilà, normal.
Mais tout ce n'est pas passé comme prévu.
Tu as allé checker le code source du site internet.
Il va y avoir de la philouterie au point de rendre fou les équipes de Ninho,
mais aussi de Pellka, vous allez voir les histoires s'enchaînent.
Bref, c'est hyper intéressant cette histoire.
Et le pire, c'est que à l'origine, tu n'es même pas un testeur de sécurité,
toi tu disais, tu es développeur web.
Ouais, c'est ça, mais du coup, directement, je connais un petit peu les systèmes,
comment ça fonctionne, les infos et tout, donc je sais faire du pain testing et tout.
Donc ça me parle un petit peu, mais de base, oui, je ne suis pas à cœur.
À l'origine, c'est ça.
Et donc, comme on disait, à la base, tout commence donc par une chasse aux trésors,
organisée par le rappeur Ninho et son label.
Remets-nous dans le contexte, c'est quoi cette histoire ?
Qu'est-ce que toi, tu es en train de faire ce jour-là ?
Ok, alors moi, je me rappelle, des jours-là, en plus, j'ai arrivé au TAF,
un jour normal, à Paris, tout ça, j'arrive dans le 11e.
Donc je m'installe à mon bureau, j'ouvre Instagram,
et là, sur mon feed, je tombe sur un poste de Rexon18, qui annonce du coup un concours à la sortie de Réfé,
donc l'album de Ninho, et ils annonçaient du coup, comme on voit sur la photo,
ils ont mis plein de petites cartes sur tous les points qu'on voit sur l'écran,
donc c'est en Ile-de-France, ils ont réparti des cartes un petit peu partout dans Paris,
dans des métros, vraiment plein d'endroits distincts,
et sur ces cartes-là, il y avait un code à 4 chiffres,
qu'il fallait ensuite rentrer sur le site de Ninho pour tenter de participer au concours.
Donc ça veut dire que même si tu avais une carte, t'étais pas sûr de gagner le concours,
t'avais ton entrée dans le concours et peut-être tu gagnais.
Et du coup, moi je me suis dit, ok, super cool, et du coup je suis sorti,
j'ai regardé un peu dans le métro, j'étais à Voltaire à l'époque,
j'ai regardé autour de Voltaire s'il y avait des cartes et tout, mais il n'y avait vraiment rien,
j'étais vraiment dégoûté, et du coup je suis remonté dans mon bureau,
et je me suis dit, bon, on va regarder le site, on va voir ce qu'on peut faire,
parce que je voulais vraiment y aller à cetteerie de ce parti, à l'époque j'étais vraiment chaud.
Et du coup, c'est là que j'ai commencé à ouvrir le code source,
et c'est là que je me suis commencé à checker un petit peu tout ce que je pouvais trouver,
et j'ai vu du coup deux vulnérabilités majeures,
donc je peux les citer maintenant.
Donc la première c'était les source maps,
par exemple dans tous les sites React, souvent c'est comme ça que ça arrive,
le code...
Donc React qui est un système pour construire des sites...
React qui est un framework JavaScript pour faire des applications web,
et du coup c'était une petite vulnérabilité en vrai,
tout le code source de la page était disponible à la lecture tout simplement pour tout le monde,
parce que souvent on passe par du code qui va être THC ou...
Minifié.
Pas compilé parce que JavaScript ne se compile pas,
mais tu vois les termes que je veux dire genre...
En gros pour expliquer, traditionnellement quand tu utilises des systèmes comme ça pour faire des sites un peu complexes,
eh ben le code n'est pas lisible tout de suite,
c'est à dire qu'il faut passer par une étape de...
où tu dois fouiller du code horrible, tout compressé, etc.
Là c'était pas le cas, ils ont oublié d'enlever le truc qui permet de voir le code en haut.
Exactement, exactement.
Et comme le montre la photo ici, j'ai pu retrouver les clés Firebase,
donc Firebase qui est une base de données développée par Google,
enfin une solution on va dire, et donc ils sont passés par ça,
et avec les codes que j'ai trouvés, j'ai pu justement requêter la base de données,
récupérer tous les codes en fait tout simplement.
Mais déjà il y a une clé code, le fait qu'il soit visible, c'est déjà en soi.
C'est déjà en soi.
Si on reprend dans l'ordre, pour que quelqu'un qui n'est pas du tout développeur comprenne pourquoi c'est une dinguerie.
Firebase, donc tu disais, c'est un système qui va permettre de gérer une base de données,
donc en gros des informations sur un site web.
Donc là toi tu vois ça, j'imagine tu te doutes que si tu pouvais accéder à ce Firebase là,
tu pourrais trouver des trucs cool.
Exactement, exactement.
Et donc tu cherches le code, et là tu tombes sur cette page avec des genres de mots de passe dedans,
qui sont des clés de connexion.
Concrètement, si tu devais expliquer à quelqu'un à quoi ça sert, comment toi tu les utiliserais ?
Oui, en fait par défaut une base de données Firebase elle est restreinte pour communiquer
avec seulement un site en particulier qui a les clés d'accès que Google nous donne.
Et ce qui se passe c'est que ces clés d'accès là justement éprouvent l'authenticité du site
et de la personne qui va faire la requête.
Donc ça lui permet de requêter tranquillement la base de données en mode c'est bon c'est ça,
il a les clés de Google donc il considère que c'est lui le propriétaire.
Et donc du coup je me suis servi de ces clés là pour moi la requêter et récupérer tous les codes en se faisant.
Voilà exactement en faisant passer pour le propriétaire du site qui avait les clés Firebase justement.
Et donc très concrètement tu envoies une requête web avec un métier, tu mets tous les codes
et t'es le patron sur leur serveur.
Oui c'est ça.
Moi j'ai une question.
Pardon, j'ai une question juste sur qu'est-ce qu'ils auraient pu faire pour empêcher que ça se produise ?
Oui justement j'ai très vite contacté, on est rentré en contact et je leur ai dit du coup comment réagir
pour fixer ce genre de vulnérabilité.
Et donc la première c'était du coup de disable des source maps pour éviter que les gens voient le code source
et en plus de ça il fallait rajouter une sécurité supplémentaire sur le Firebase.
Il y a pas mal de sécurité en vrai différente mais la première que j'aurais pu dire c'est de
autoriser seulement les requêtes qui viennent dans le domaine en particulier.
Par exemple le site en question c'était refeparty.com il n'existe plus maintenant mais à l'époque c'était ça.
Et si tu peux par exemple limiter ta base de données à communiquer seulement avec ce site là en particulier
comme ça tu es sûr que personne d'autre pourra communiquer.
Vérifier l'origine du site.
Voilà c'est ça exactement.
Et après on va être à plein d'autres façons de vérifier mais je pense que c'est la première à faire.
Tu disais Tiffany ?
Oui mais tu as une troisième solution c'est que à la place que tes mots de passe sont en clair
tu les mets dans un vault une fois que tu les committes ton réponse.
Ou ils auraient pu les hacher ou faire un vrai.
Et je crois aussi parce que j'aime rappel mes souvenirs de l'université de Firebase
où ils ont un système de droit qui est relativement appensé
et c'est pas nécessaire de donner les mêmes droits à l'utilisateur lambda que à un administrateur
et donc il y a tout un langage dans ce système de Google pour contraindre les droits d'accès.
Mais la question que tout le monde se pose c'est tout se Firebase.
T'as trouvé quoi ?
C'est secret ?
En vrai le premier truc c'était très compliqué parce que fallait que je trouve la bonne query à passer
dans mon postman à l'époque j'utilisais postman pour faire mon petit call API.
Alors explique.
Alors postman ça permet tu mets par exemple un lien
et tu choisis si tu veux faire un post, un get ou un patch ce que tu veux
et ça va te permettre d'automatiquement faire une requête HTTP sur le lien que t'as envoyé.
Donc tu l'utilises pour tester des API ou pour faire du reverse engineering pour essayer de comprendre comment ça marche.
Et donc voilà comme la montre la vidéo ici.
En fait j'ai fait un get qui récupérait du coup j'avais mis une page query dans les queries par arms et j'avais mis 100 000
et comme ça j'étais sûr qu'il me renvoyait tous les codes qui avaient dans la base de données.
Et du coup j'avais trouvé la bonne table qui s'appelait card je crois.
La table dans la base de données s'appelait card et de suite avec tous les codes
avec le nid tiré les 4 codes présents sur les cartes qui avaient sur Paris.
Ok.
Du coup tu as récupéré tous les codes de toutes les cartes.
Ouais exactement.
Ok.
Parce que moi comme je n'ai pas participé j'avais pas vu ce truc sur la table à l'époque.
En fait tu avais la carte de Paris etc.
Tu avais des cartes secrètes avec des codes à trouver
qui te permettait de participer au concours.
Exactement.
Et du coup tout ton enjeu c'était de retrouver la bonne table
en fait de comprendre comment étaient foutus leur système.
Et donc là la vidéo qu'on voit c'est que toi qui envoie des milliers d'en requêtes
c'est ça ?
Les pauvres ils ont détruit leur base.
Tout ça pour récupérer toutes les cartes en gros.
Ouais c'est ça.
Et en plus au début j'avais pas vraiment d'objectifs en particulier.
Je voulais juste avoir des codes pour moi pour participer au truc.
Mais après une fois que j'ai eu tous les codes c'est là que ça a commencé
à tourner dans ma tête.
Et t'en ai combien alors des cartes ?
Du coup il y en avait 2000 ou 3000 en tout je sais plus combien exactement
mais je sais qu'en physique il y en avait que 1000.
Il y en avait beaucoup moins que ce qu'il y avait dans la BDD je sais que dans la BDD
il y en avait qui n'était pas présent physiquement sur Paris.
Il y en avait qui était juste numérique et que du coup j'y ai accédé
et ils se sont dit où là comment il a fait ?
C'est à dire que si tu voulais t'aurais pu gagner le concours.
Ouais j'aurais pu activer tous les codes en mon nom.
Mais tous les codes n'étaient pas forcément gagnants du coup eux ils avaient en tiré au sort
quelques uns dedans.
Ouais c'est ça.
Et donc toi t'avais plus qu'à jouer tous les codes ?
Ouais au début c'est ce que je me suis dit mais je me suis dit ça va permettre
les autres personnes qui participent ils vont tous perdre et c'est un peu dommage
tu vois de casser un truc dans le concours.
Il y aura personne.
D'autres c'est ça je vais vous retrouver celles de mon nignote.
Et alors évidemment tu ne le fais pas ça qu'est-ce que tu fais du coup.
Salut si vous appréciez Endorscore vous pouvez nous aider de ouf en mettant 5 étoiles sur Apple Podcast
en mettant une idée d'invité que vous aimeriez qu'on reçoive.
Ça permet de faire remonter Endorscore.
T'es l'une fusée.
Bah du coup j'ai très vite mis des stories sur mon Instagram
où j'ai du coup donné 4 codes à ma communauté quand même
pour donner quand même aux fans qui me suivaient et tout.
J'ai donné 4 codes et du coup vite après il y a l'équipe de Rex118 qui m'a contacté
et qui m'a dit écoute on a vu ta story on aimerait savoir comment t'as fait etc.
Ils étaient un peu en panique je t'avoue au début ils avaient peur de mes intentions en fait.
Et donc très vite j'ai rassuré je leur ai expliqué les vulnérabilités que j'avais trouvées
et comment les fixer et ils m'ont très vite remercié et ils m'ont dit du coup direct
proposé de venir à l'arrêt des parties de Niño.
Trop cool.
Et comme ça j'ai pas activé tous les codes et les autres codes du coup il y a d'autres gagnants
qu'on gagne à côté il n'y a pas que moi qui ai été sélectionné.
Heureusement.
Et donc dans l'interaction parce que c'est un truc hyper intéressant dans la cyber
c'est comment se passe cette fabuleuse discussion de j'ai trouvé une faille dans ton site
comment vas-tu réagir.
Donc là tu disais c'était un peu stressé.
Est-ce que genre il t'a pas trop mis la pression ou tu vois tu t'es senti un peu…
Un petit peu parce qu'au début je me suis dit on sait jamais,
ça se trouve j'ai fait quelque chose qui est déjà avec de bas ce qui n'est pas très légal
on va dire de servir des clé-firebase je sais pas si j'avais vraiment le droit
mais du coup le fait d'avoir dit directement les vulnérabilités,
leur avoir exposé les failles et leur avoir montré comment les fixer tout simplement
je pense que ça a dû monter un peu mon image et ils se sont dit ok c'est pas un hacker
on va dire un red hat tu vois c'est vraiment… je suis venu en mode white hat le petit gentil
qui vient…
T'as vite fait tomber la pression.
Ouais voilà c'est ça.
Je voulais pas faire le red hat.
Je voulais pas avoir de problèmes et…
Bah ouais mais c'est important de le faire pour ceux qui nous écoutent.
C'est important de faire ça.
Et donc tu disais grâce à ça qu'ils ont corrigé simplement comment ils ont fait.
Ouais alors il y a eu des trucs donc premièrement c'est des source maps qui ont été désactivés
donc le code source n'était plus disponible et deuxièmement le get qui permettait de récupérer les codes
depuis le firebase le code n'existait même plus en fait ils ont retiré le get tout court.
Ils ont juste laissé le poche qui permet de vérifier si un code est bon ou pas
et ensuite de valider si le get il l'ont retiré comme ça ils se sont dit…
Au final il sert rien.
Bah ouais c'est ça c'était plus pour les admins.
En gros ils ont revert le code.
Ça devait être un oubli ouais.
Très intéressant et donc t'as pu y aller finalement c'était sur mes venus.
Ouais carrément j'ai pris quelques vidéos et j'ai su y aller du coup avec deux amis à moi
j'ai permis de deux amis qui étaient avec moi à mon école
et non franchement c'était super bien, super cool.

Trop quoi, trop bien.
Bon le truc c'est que c'est pas fini.
Tu as récidivé récemment je sais probablement que ça va peut-être arriver à nouveau
tu es sur une telle lancée là que ça va pas être, ça va pas être comme ça.
Mais cette fois-ci ça concerne un autre rappeur, donc PLK que vous connaissez forcément.
De quoi il s'agit cette fois ? Ça s'est passé à quelques jours.
Alors là ouais ça c'est tout récent, c'était il y a quatre jours si j'ai pas de bêtises, quatre-cinq jours.
Et donc j'ai vu que sur mon LinkedIn, j'étais sur mon LinkedIn sur mon feed
et du coup comme je suis à fond rap j'ai plein de mecs qui buzzent dans des labels de rap et tout sur LinkedIn
donc du coup je fasse souvent leur poste et c'est là que je suis tombé sur l'annonce du site Enamusique
qui est le label de PLK et donc ils annoncent un grand…
je sais pas comment expliquer ça facilement mais c'est…
Permettre à sa communauté de participer à la sortie de son prochain projet
genre que ce soit côté DA, comme ce soit côté parole aussi sur les laéris, ce que ce soit sur les prods
et en fait c'est un système un peu du crossfunding, je sais pas comment dit le mot le terme
c'est quand les gens ils font des enchères en fait, ils investissent tous je sais pas 500, 1000 euros
ça dépend les différents points, et en vrai il y a tout sur le site je sais pas si…
C'est un financement participatif, c'est le projet de la pomme.
C'est ça et en fait plus tes fans on va dire c'était vraiment un vrai fan de PLK
tu vas venir tu vas acheter ton rôle du coup il y avait boss, t'agiaire, marketing
il y a différents rôles sur le site et du coup avec ça et bah tu pouvais ensuite
être en relation avec PLK et voir avec lui tous les avancements de son prochain projet
et participer clairement en fait au développement du prochain projet
Mais toi tu ne fais pas juste te rendre sur ce site, qu'est-ce que tu fais encore ?
Bah du coup je me suis très vite amusé parce que du coup depuis que j'ai fait le truc à Ninho
et bah faut savoir que j'ai fait pas mal de rappeurs à côté, genre il y en a pas mal que je peux pas citer
mais j'en ai fait pas mal et du coup là oui pour PLK du coup je suis arrivé sur le site
et je me suis dit ok déjà qu'est-ce qui est vulnérable parce que quand t'arrives sur un site
la première question que tu te poses c'est pour regarder ce qui est vulnérable
parce que si c'est un Shopify t'as une chance sur deux déjà que c'est mort
donc ça va être beaucoup plus compliqué
Et donc là j'ai vu que le site déjà était fait à la main, que c'était du React
donc ça me parle, j'ai vu qu'il y avait encore les source maps
donc la même erreur que Ninho il y avait le code source
et donc du coup voilà donc j'ai commencé à fouiller le code à partir de là
je me suis dit si il y a les source maps je vais trouver quelque chose
parce que quand t'as le code source forcément tu comprends toute l'infra
et donc tu sais comment elle fonctionne donc tu sais au fait
ça va plus vite, on va dire que tu gagnes beaucoup de temps
voilà c'est ça exactement
et donc du coup j'ai me suis très vite aperçu d'une première faille
donc ça c'était un petit peu critique en vrai
c'était sur une page publique donc tu n'étais même pas besoin de te login rien
une page publique à tous
tu pouvais récupérer les informations de tous les utilisateurs
genre tu pouvais récupérer leur nom, prénom, adresse, email
genre téléphone aussi, j'avais vraiment des infos de fou
c'est chaud ça
et il y avait vraiment tout le monde, ça veut dire dès que tu placais une enxère sur le site
que tu disais ok par exemple je veux devenir stagiaire je mets 10€ pour PLK
et bah hop, tu y avais un petit formulaire tu rentrais tes données
et ça c'était en base de données après c'était stocké en PDD
ton données personnelles était accessible
et le get qui était sur le code publique de la page web
dans la réponse, il y avait les infos de tous les utilisateurs
mais tu sais que ça c'est en fait c'est plus grave que ta première histoire
parce que ça c'est en RGPD
du coup après ce qui est bien c'est qu'ils ont très vite réagi
je leur ai expliqué la faille très vite
et très vite le CTO du projet de PLK m'a contacté sur Instagram
et je lui ai dit du coup la grotte faut vraiment fixer ça très vite et tout
et vraiment ils ont été très chauds c'est qu'en moins de 30 minutes après que je lui ai dit
le truc était fixé
donc là dessus leur équipe a su vraiment très vite réagir
et je pense que c'était un oubli de leur part
parce que c'était juste un net point à pays qui était mal
qui fonctionnait mal en fait
mais il faut qu'ils changent le développeur
oui bah justement c'est ce que j'essaye de montrer
c'est que aujourd'hui il y a des grands artistes comme Nynu et PLK
qui s'entourent de grandes équipes je dis pas en vrai leur équipe est très bien
mais il faudrait vraiment pour moi favoriser ce côté d'EV
c'est d'avoir vraiment des sites de fou avec des univers de malades
pour le ILO et PNL tu vois c'est vraiment des trucs originaux
où tu te dis ok le mec il a vraiment taffé le truc
et donc ce soir la fête juste pour qu'on comprenne bien
si tu devais l'expliquer avec des mots simples
tu parais donc d'une API c'est à dire qu'il y a un endroit
où il fallait récupérer des informations sur leur serveur
qui était mal sécurisé c'est ça ?
ouais c'est ça en fait c'était directement quand tu arrivais sur la page
j'avais ouvert la burp suite
je sais pas si tu connais le logiciel et ça me permettait en fait d'intercepter
toutes les requêtes HTTP quand tu arrives sur le site
et à partir de là j'ai fouillé toutes les requêtes et tout
et c'est là que je tombais sur une requête
où là j'avais les usures infos de personnels de plein de gens
ah t'as rien à faire ?
non c'est juste burp suite
tu ne l'as même pas modifié c'est tel quel ?
non non non c'est à dire que
oh la fête
c'est encore plus chaud ça veut dire
continuellement toutes les personnes qui se rendaient sur le site
recevaient dans leur navigateur toutes les infos personnelles
après c'était pas affiché c'était caché tout ça fallait aller le trouver
mais oui un call a payer et retourner ces infos là
la fête arrive sur l'ordinateur en un seul en machine
j'ai jamais vu un truc comme ça
objectivement très original
et donc là c'est pareil tu vois ce gros problème
tu les contactes
ils réagissent comment ?
du coup pareil un petit peu paniqué au début
ils étaient en mode putain c'est qui lui
en mode il va nous faire des folies
et non du coup très vite je me suis arrangé avec eux
je leur ai dit bon les cas là il faut vraiment cacher ça
là j'ai récupéré les infos de machin
je leur ai montré un peu tout ce que j'ai trouvé
et j'avais aussi trouvé un autre truc qui était critique
c'était le login ils avaient mis pas de texte
ils avaient mis pas de captcha et pas de trottin
ça veut dire que tu pouvais brûler de force
à mort
du coup je te cache pas que j'avais déjà les adresses email de tous les comptes
ils manquaient juste le passeport
du coup je me suis amusé j'ai ouvert mon petit call et les nukes
j'ai mis hydra je sais pas si tu connais
et voilà j'ai créé mes passeports de liste
j'en ai eu 4 ou 5
mais sur les 30 il y en avait d'autres qui avaient des vrais mots de passe
et là j'ai pas su mais par contre tu en as 4 ou 5
ou c'était très simple
tu étais déjà en contact avec eux à ce moment là ?
non du tout bon en vrai faites un peu gaffe
parce que c'est un peu du hacking sauvage
en truc et tout
généralement des bonnes intentions
tu l'expliques après
mais ça veut dire que probablement
pour faire ça, pour expliquer aux gens
c'est que t'as dû envoyer des milliers
ou slash des centaines de milliers de requêtes
à leur serveur
par utilisateur pour trouver leur mot de passe
pour le bout de force ouais
c'est un peu rentré
ouais ben bravo alors
si ça mine
t'as eu des cadeaux après ?
enfin ils sont étoi remerciés
pour Ninho j'ai eu l'arrêt d'Esparty
mais par contre pour PLK j'avoue que j'ai encore rien eu
mais par contre je suis rentré en contact avec le CTO
et il m'a dit qu'il m'a ajouté
même mon numéro et tout maintenant
et donc ils auront peut-être travaillé ensemble à l'avenir
donc à voir ce que ça donne
t'as eu des avances
d'embouche peut-être ou des trucs comme ça
des collables c'est hyper intéressant
et non mais tant mieux que ça se finisse comme ça
heureusement parce que comme je disais
parfois des trucs comme ça de découvrir
des mille habités ça se passe pas aussi bien
ça serait hyper cliché de dire ça
mais tu pourrais te dire que dans ce game là
peut-être tu te prends des coups de presse
plus vite ou quoi mais ça va genre
c'était pas trop... c'était gérable on va dire
tant mieux on va y plus on réjouer
et alors c'est quoi ta prochaine cible ?
là j'avoue que j'ai un peu arrêté du coup
parce que ça m'a un peu freiné là je veux qu'il y ait pas mal de monde
de commencer à en parler et comme le site de PLK
y'a encore en ligne et tout les gars donc vous amusez pas
à faire des trucs en vrai tout est fixé donc en vrai ça risque rien
mais en vrai fais attention quand même
tu m'assois d'être fait que
t'avais déjà trouvé d'autres failles
peut-être sur d'autres rappeurs dont tu peux pas parler
est-ce que ça s'est passé moins bien ?
non en vrai tout c'est tout le temps bien passé
et il y a quelques fois j'avais trouvé
des failles mais elles étaient tellement minimes que j'ai rien dit
je n'ai pas fait remonter aux équipes et j'ai rien dit
c'était souvent des petites failles ou t'avais
je sais pas un domaine qui était pas censé apparaître
qui ressortait ou un truc dans le code
qui ressortait qu'il fallait pas genre
les qui stripe souvent ça arrive
ou les qui je sais pas
ça arrive souvent
tu viens d'oubler un truc encore
mais ça me dit que c'est
stripe c'est le module de paiement
pour payer en carte de blessure sur les sites web
ok c'est autre chose très bien
non mais en tout cas l'explication technique est assez cool
c'est que des failles qui sont entre guillemets
dans du classique
mais c'est assez fou de le voir
appliquer un domaine
je pense qu'il y a tellement de trucs comme ça
où on se dit souvent que trouver des
je pense que quand tu commences la cyber sécurité
tu te dis trouver des failles c'est impossible
genre il faut être un
un craque de fou
il faut avoir 15 ans de bagage
pour trouver des failles dans les gros sites etc
et comme tu disais parfois oui
tu mentionnais un shopping-file donc un truc
de e-commerce et ben
là il y a du monde qui est passé avant toi donc
pour trouver des vulnérabilités c'est compliqué
mais il y a plein de domaines dont toi le rap
ou probablement qu'il y a une maturité
en sécurité qui est vachement moindre
et donc il y a plein de
tu peux vachement aider
des gens d'écosystèmes
différents et tout donc il y a du taf les gars
mais du coup tu connais leurs équipes de dev maintenant
tu...
ouais j'hésite sur les réseaux et carrément
je me rappelle ils ont sorti un site pour dausi 6 mois après celui de ninho
et là par contre ils avaient fixé le firebase
ils avaient fixé les source maps il y avait rien
j'étais allé faire un tour
ils ont appris c'est ça
est-ce qu'ils t'ont contacté donc ces 2 rappeurs
ou t'as démontré quand même que
ils avaient des grosses failles dans leur site et t'ont contacté
pel caninou non mais du coup j'ai eu l'occasion
de rencontrer Ninho à la rivise partie
j'ai quelques photos avec lui mais on n'a pas pu s'échanger
sur le sujet du hacking
je pense pas mais son équipe ça avait par contre
j'étais avec lui
ah ouais non direct
ça aurait été marrant que du coup
c'est l'occasion de les rencontrer
ouais ouais pourquoi pas en vrai pourquoi pas peut-être que ça va se faire un jour
après je connais leurs cityo donc peut-être
tu vas finir par être connu dans le monde du rap
mais c'est ça le futur carrière de pen testeur officiel
des managers de rappeur en france
c'est magnifique
dans le chat en même temps quand t'as un type
qui tient ton site entre les mains t'as intérêt très gentil avec lui
bah ouais
les discussions normalement se passent bien
parce que t'as pas intérêt
en tant que personne concerné
que ça tourne mal
en tout cas
ton histoire a inspiré beaucoup de monde
dans le chat non vraiment c'est à dire que
c'est je pense que c'est un truc qui parle
beaucoup de gens que t'es jeune
t'es un core étudiant
et voilà t'as déjà
des projets perso qui sont ultra carré
t'as déjà
des débuts en pen test
et je pense que c'est assez motivant
pour plein de gens de se dire bah ils ont pas besoin
d'attendre longtemps quoi
sur la partie cyber sécurité toi t'as appris
t'as appris tout seul
ça c'est ouai c'est full auto didact j'avoue qu'à l'école on n'a pas
de filir sur ça on a une filière developer full stack
donc on apprend un peu de tous les langages un petit peu
donc du piton, du js, du node
mais maintenant le hacking
c'est full auto didact
et tu constates à quoi, aux gens qui veulent suivre
ton part ? en vrai bah le meilleur c'est
hackerloy c'est un youtuber américain
qui est très très très chaud il fait des vidéos super bien vraiment
donc c'est qui comprennent bien l'anglais à l'esd direct
carrément non mais ça c'est un des
des trucs à dire aussi c'est
si vous voulez vous lancer dans ce game là
encore plus dans la cyber que dans le dev
dans le dev déjà c'est important de savoir
parler anglais mais dans la cyber
si vous parlez pas anglais vous ratez tellement
réellement
tout le best tout le contenu de
qualité donc ouais malheureusement
si ça un truc qui vous donne des boutons
vous passez à peut-être quelque chose
clairement trop trop intéressant
je pense qu'on arrive très doucement
à une fin
d'émission j'espère que vous avez appris
des trucs et
et découvert des choses sur
les captchas sur les vendeurs de
dvd si tu arrives maintenant
on va pas comprendre
et plus généralement
sur ces histoires
de hacking dans le rap
dans le chat on partage d'autres dont je sais pas si tu connais
notamment John Hammond
et Ypsac
moi j'avais vu passer
des vidéos d'un autre on le fait jamais ça donc
j'en profite tu prends un tout petit temps pour faire du
un petit peu du partage de ressources on pourrait le faire un peu mieux mais
mais effectivement
John Hammond j'avais vu des vidéos où il passe
une heure et demi
tu es là sur youtube il est une heure du matin
tu as probablement d'autres choses à faire comme tu as bien
et là tu t'en sur un ya qui en gros
fait du reverse engineering
de malware
écrit en javascript
ou en VB script
ah oui je connais
surtout tu sens
ça détresse
quand elle galère et tout
c'est pas monté
c'est un live
ah oui c'est vraiment live
et c'est d'autant plus ouf
donc voilà si vous avez 2 heures à perdre
vous pouvez regarder du reverse de
je crois que j'avais regardé un downloader
de malware donc en gros c'est la
première étape quand tu reçois une merde
sur ta machine c'est souvent un truc
qui fait pour échapper aux antivirus et donc
les stratégies qui sont utilisées sont hyper intéressantes
bref n'hésitez pas à checker cette chaîne
toi ou est-ce qu'on peut te suivre si on veut voir
tes prochains projets
moi c'est principalement sur instagram en vrai 0expert.dev
j'ai un twitter aussi 0expert
underscore.com
et après je viens de créer ma chaîne youtube
0expert tout court et du coup j'ai fait ma première
vidéo en parlant du coup d'un Nino
et il y a d'autres vidéos qui vont arriver
pour PLK et d'autres vidéos aussi qui concernent
les NFT, la blockchain et un peu ce que je fais au quotidien
pour montrer un peu à tout le monde
quelle est la vie d'un développeur à temps plein
parce que pour le coup je passe vraiment 8h par jour
sur mon pc à codé et si ça se termine
tous les points sont verts
et non après en vrai c'est
moi c'est instagram en vrai la base et dessus je poste toutes mes stories
mes sites et tout franchement c'est la base
et franchement je vais suivre
surtout les projets que nous avons montré
en indé et tout
c'est vraiment des trucs à concept
c'est pas le genre de truc qui finit dans the world
ou les trucs
tu as déjà postulé je sais pas comment ça fonctionne
exactement mais
tu t'es pas déjà dit que tu pourrais
gratter une petite place sur les worlds par exemple
en vrai j'y ai pas pensé
c'est sûr
c'est sûr
ce genre de truc à concept là où tu virtualises
une gameboy
obligée