Pourquoi Banque Populaire est la première banque des entreprises ?
Je me posais des questions sur le partage de la valeur pour mes salariés.
Elodie, ma conseillère Banque Populaire, m'a proposé une solution d'épargne salariale sur mesure,
rapide à mettre en place et que je peux piloter en ligne.
C'était simple et surtout ça a fait des heureux.
Accompagner nos clients sur tous les territoires avec des solutions adaptées à leurs besoins,
c'est ça, être la première banque des entreprises, Banque Populaire, la réussite est en voulue.
Étude Quantar PMEP, mid-2023, Quatorze Banques Populaires, Première Banque des PM.
Upvote, c'est la rubrique où on met un coup de projecteur sur un talent.
C'est vraiment le frappe direct avec ce projecteur.
Un coup de projecteur très violent et cette semaine c'est Ronnie Carter.
Salut !
Bienvenue à toi.
Merci, c'est super la invitation.
Est-ce qu'on dit toujours tractopel ?
Oui, c'est vraiment jusqu'à la fin.
Est-ce qu'on a le droit de dire non-fogible tractopel ?
C'est juste pour savoir.
Le pire c'est que ça marche.
Mais oui, mais c'est un de merde.
Il est bon, lui.
Tu peux te sauver alors que tu es déjà tombé dedans.
Alors, il t'en donne que c'est toi qui va avoir la parole.
Tu te mets dans la merde.
Non, mais moi, il n'y a pas de tractopel dans mon domaine, donc ça passe.
Ça va être puisque tout simplement, tu n'es pas venu l'émervite.
Tout à l'heure, tu vas nous montrer, nous expliquer en live une faille que tu as trouvée.
Oh, let's go !
Ce n'est pas tous les jours qu'on a ça.

Ça va être très stylé.
Donc, tu as 19 ans, tu t'appelles Lupin sur Twitter.
Exactement.
Et tu es champion du monde de hacking.
Qu'est-ce que ça veut dire ?
Bon alors, je ne suis pas champion du monde tout seul.
En fait, on est une équipe de 21 personnes.
Et en fait, ce qui se passe, c'est qu'il y a une plateforme de bug bounty qui s'appelle
Hacker One qui on dit, on va faire une coupe du monde.
Et en fait, c'est une dinguerie parce qu'eux, ils ont des clubs dans le monde entier où
il y a des ambassadeurs dont je fais partie.
Et ils ont dit, chaque ambassadeur, préparez-vous, faites une équipe de 21 personnes, vous allez
péter des trucs.
Ok.
Et donc, nous, on était très, très motivés.
Hacker One, donc, le bug bounty, c'est des plateformes qui rétribuent les hackers pour
trouver des failles dans des boîtes en haut.
Exactement.
Et du coup, Hacker One, c'est l'une des plus grandes plateformes aujourd'hui.
Et ce qui se passait, en fait, c'est qu'ils nous ont dit, voilà, il y a ce tournoi qui
se prépare et il faut constituer une équipe.
Et il y a deux phases dans la compétition.
Il y a une phase qui s'appelle le CTF, le capture de flag, où en fait, ils mettent en
place des challenges avec des sites qui sont faits pour ça, pour l'événement.
Et il faut trouver des vulnérabilités dedans.
Et je vois qu'on en trouve une, on gagne des points.
Et du coup, les 16 premières équipes qui étaient en première, du coup, se qualifiaient pour
le tournoi.
Et donc, à partir de là, moi qui faisais partie d'Ambassadeur, il fallait que je monte
une équipe.
Et donc, normalement, quand on est ambassadeur, tu as une communauté, un peu, tu connais des
gens, mais 21 personnes, il fallait 21 personnes chaudes pendant un mois de compétition entière.
Moi, je n'ai pas 21 amis.
C'est sincèrement.
Ça qui était complexe, là, j'avais déjà une petite goutte de sueur.
Je me suis dit, ok, il nous faut 21 personnes, il faut 21 personnes pendant un mois qui
soient quand même dispos.
Et qu'en plus, on soit grave motive.
Pour 20 et un chômeur, surtout, en fait.
Non, ça va, on avait du temps.
Les nuits étaient très courtes, mais on avait du temps, normalement.
Il y a peut-être un esport, en fait, ça qui est fou.
Dans le hacking, tu peux faire des championships séries mondiales.
C'est fou.
C'était trop cool.
Et du coup, pour nous, c'était un gros défi.
Et du coup, je me suis dit, ok, il nous faut une équipe qui soit un peu hétérogène,
dans le sens.
Il nous faut des gens qui soient bons en bugbunty, mais bon en CTF.
Parce que c'est vraiment deux trucs complètement séparés.
C'est deux mondes à part.
Le capture de flags, comme dans un jeu vidéo, sauf que là, ce n'est pas un vrai drapeau
virtuel, c'est un mot de passe.
C'est ça, en fait.
On te donne une chaîne de caractère et tu le rentres dans un leaderboard et tu gagnes
des points.
Tu dois trouver le code OK.
C'est ça, en gros, tu dois trouver une vulnérabité et tu tombes sur ce code secret et tu gagnes
des points comme ça.
Et après, le bugbunty, c'est vraiment là, on pirate des vraies entreprises.
Et donc, à Caronne, nous on dit, vous avez...
Tu connais Jess Mayn?
Je l'ai gole moyen.
Mais bon, du coup, à Caronne, ils nous ont dit, vous avez tous les programmes publics
comme périmètres.
Et il y en a énormément.
Comme vous avez dit, à dernière fois, il y avait Epic Games, on a du Uber, il y en a
tellement.
Il y a même des plateformes hyper connues comme Reddit.
Donc voilà, là, pour le coup, on s'est dit, on a un périmètre très grand, un gros terrain
de jeu, mais en même temps, c'est hyper difficile de pirater ce genre de boîte.
Parce que tout le monde est déjà passé dessus.
Tout le monde les connaît.
Et on se dit, ok, là, il y a un vrai défi.
Il faut qu'on ait une créativité différente.
Il faut qu'on les explose.
Ce n'est pas tous les jours.
Et donc, ce qui se passait, c'est d'abord, on se dit, ok, focus sur le CTF.
On le passe et on ne pense pas à la suite pour l'instant.
Et là, nous, on a eu grave chaud parce que toutes les équipes trouvent tout l'échelle.
Et nous, on stagne un peu comme ça.
Et on a un moment où il nous manque un truc.
Et un moment, quelqu'un débloque la situation dans l'équipe et tout le monde se refocus
et on remonte et on se qualifie.
Vous avez clutch les challenges.
Oui, si on regarde les courbes, on était comme ça.
Et un moment, on voit nos points faire comme ça.
Et on est en mode, ok, on respire.
Là, on a eu un petit coup de presse.
Vous êtes toujours dans la course.
On est toujours dans la course.
Et après, on passe vraiment sur un tournoi comme une coupe du monde de foot,
où on a des huitième, des quarts, des demi, des finales.
Et là, ce qui se passe, c'est qu'on tombe contre la première équipe,
qui est le Brésil, qui est sorti première du CTF.
Et on s'est dit, ok, là, il va falloir bien jouer.
Et on a commencé, en fait, notre phase de reconnaissance.
Ça veut dire qu'on va essayer d'identifier toutes les technologies qu'il y a sur le périmètre.
On va déjà choisir des programmes parce qu'on ne peut pas choisir 300 programmes en même temps.
Il faut qu'on se focus sur certaines entreprises.
Et à partir de là, en fait, la reconnaissance, normalement, ça dure une semaine.
Sauf que pour envoyer des failles, c'est quatre jours.
On a juste une fenêtre de quatre jours.
Et donc là, on est stressé.
À ce niveau-là de compétition, dans la compétition, à la fin,
est-ce que tu as le temps de tester des vulnérabilités connues sur les techniques que t'as identifiées ?
Ou t'es là en mode non, non, pas du tout.
Je dois faire du zéro délige, d'autre rien de truc que jamais personne n'a pensé ?
En fait, ce qu'il faut savoir dans le format bug bounty,
c'est que si un autre chercheur a déjà trouvé la vulnérabilité,
tu n'es pas récompensé et les points ne comptent pas.
Donc ce n'est pas que de l'original pure.
C'est ça.
Par contre, tu peux trouver des vulnérabilités qui existent déjà sur des techniques,
mais il faut se dire, s'il y avait une vulnérabilité connue,
peut-être que quelqu'un d'autre l'a déjà trouvé.
Donc pour nous, le défi, c'est vraiment d'aller sur des misconfigurations,
des...
Je ne sais pas, ils ont rajouté des failles sur du code custom, des choses comme ça.
Il faut vraiment qu'on se...
Il faut être hyper créatif.
C'est quoi la part des outils automatisés ?
Là-dessus, je reste que tu fais une première passe en mode full auto pour voir si tu trouves un truc.
Ouais, carrément.
En fait, toute la partie reconnaissance, on essaie de l'automatiser au maximum
parce que là, on parle de périmètres qui sont énormes.
Il y a des milliers, voire des millions de sous-domaines par rapport aux entreprises.
Donc on a un domaine, par exemple, le Google.com.
Et après, ils ont d'autres domaines comme agenda.com, des choses comme ça.
Là, il faut se dire, ce n'est pas trois, quatre sous-domaines.
On a des milliers voire des millions.
Donc on se dit, pour identifier toutes les technologies, il faudra automatiser.
Il faudra envoyer des grosses machines.
Et moi, je sais que dans la équipe, il y a Brice et toute l'équipe de base Eddons
que eux, ils ont lâché 60 machines, surtout les scopes, ils ont bourriné.
Et après, ils nous ont donné des petits résultats en mode comme ça.
Et je sais que il y a plein d'autres membres,
que eux aussi, ils ont leur outil automatisé de reconnaissance.
Et donc là, en fait, on essaie de tout mettre ensemble, de se dire, voilà.
Là, on a fait la reconnaissance.
Maintenant, il faut trouver des vinaimités.
On n'a que quatre jours.
Et à partir de là, on était grave motivé et on trouve un peu près, je pense,
dix rapports entre médium et critique, qui est l'équivalent de 70 points pour la compétition.
Donc c'est très bien pour des problèmes publics.
Ça veut dire vraiment, tout le monde est déjà passé dessus.
Donc trouver au moins dix vinaimités, c'est énorme.
Et on ne sait pas combien de points on a eu sur la première phase,
parce qu'ils ne l'ont pas dit.
Ils ont dit les points pour les phrases d'après.
Mais on estime qu'on avait 90 points et l'équipe du Brésil avait moins et on passe.
Trop chaud.
Et là, ça, c'est les 16e, donc ?
Ouais, c'est huitième.
Huitième.
Huitième.
Huitième, après.
Donc après, c'est les quarts ?
C'est ça.
Mais en fait, les quarts, le problème, c'est que personne n'était connecté.
Du coup, dans le sens, dans l'équipe, on n'était plus dispo.
Et on a envoyé trois rapports, un truc comme ça, mais c'est très peu.
Et du coup, on a eu 14 points, ce qui est rien.
Et l'équipe d'en face a eu 12 points.
On est passé à un petit rapport de la défaite.
Et là, il faut le dire qu'en fait, vous faites pas ça à plein temps pendant un mois.
C'est-à-dire que vous avez d'un travail, en fait.
Ouais, il y en a avec, soit ils font du bug bounty en auto-entrepreneur,
soit il y en a qui sont vraiment en full.
La phrase, je fais du bug bounty en auto-entrepreneur, elle est incroyable.
Il faut...
Il montre tractophèle dedans.
Je suis intermittent du spectacle de bug bounty, ouais.
C'est incroyable.
Ouais, mais voilà, il y en a, ils sont en mode full time dessus et ils sont super bons.
Et on a eu des profits comme ça dans l'équipe.
Et voilà, c'est un régal de les avoir, parce que eux, c'est des machines concrètement.
Et vous passez demi-finale.
Il se passe quoi ?
Il se passe qu'il y a eu un élan de motivation.
Là, d'un coup, tout le monde se dit, on va le faire.
OK, on n'est pas à l'abri d'un coup de cul là.
Non, mais là, on démonte tous les périmètres.
Et on se focus sur trois boîtes.
Je ne peux pas les disclose, parce qu'en fait, on a des contrats pour dire,
bah vous n'avez pas le droit de parler des vulnérabilités.
À l'avenir, c'est possible qu'on puisse en parler.
OK, on se s'empêche et rend du public, c'est ça ?
C'est ça, exactement.
Et du coup, ce qui se passe, c'est que là, on commence à partir avec des gros soirées,
par exemple avec XO et Bidcan, où on passe une soirée ensemble sur un périmètre.
Et je crois que ça a duré de quatre heures de l'après, ma trois heures du mat.
Et on a très hard.
Et là, il y a eu une essence, toute l'équipe s'est réveillée et il y en a,
ils ont trouvé des dingueries.
Par exemple, Kuro, lui,
il a compromis des infrastructures de trucs que tu te dis, c'était pas possible.
Genre, tu le dis.
C'est...
Là, pourquoi tu ne peux pas dire les noms, mais c'est des gros trucs.
C'est...
Est-ce que tu peux nous donner un équivalent qui n'est pas eux ?
Est-ce que tu peux dessiner le logo ?
Malheureusement, je ne peux pas.
Non, je désolé.
Le NDA, c'est ça.
Non, le NDA est pas mal fort.
Et oui, du coup, il y a eu des dingueries.
Le problème, c'est que nous, on s'attendait à 200 points et là, on voit plein de duplicés.
Ça veut dire que, par exemple, il y a Bifid dans l'équipe.
Lui, il a envoyé des failles qui s'appellent des XSS.
Donc, en gros, il peut injecter du JavaScript dans les pages
et d'autres clients vont visiter sa page et avoir du JavaScript malicieux.
Et donc, ce qu'il fait, c'est qu'il peut exciter des données à caractère confidentielle.
Et on a trouvé 4, 5 sur une app et il était trop content.
Tu vois.
Et le truc, c'est qu'…
Juste avant ?
Non, c'est apparemment,
il y a des chercheurs qui ont trouvé avant, avant lui.
Et du coup, ça comptabilisait pas.
Et en plus, il ne gagnait pas d'argent dessus.
Donc, et là, le truc, c'est qu'on voit, on a envoyé 30 rapports et on voit là, 15 rapports en duplicés.
Et moi, je parle avec l'ambassadeur de l'équipe du chez, il dit,
ouais, nous, on a à peu près 15 rapports d'envoyer, 30 rapports,
il y a un casque qui sont duplicés aussi.
Et en fait, on a les mêmes stats.
Les mêmes stats.
Et à partir de là, on passe, je crois, c'était 106 à 100.
Mais vraiment, on est passé au ras du mur.
Et c'est passé crème.
Go finale.
Oui, oui.
Et là, une pression de malade, on s'est dit, on a tout donné pour la demi-finale.
Vous jouez quand tu es en finale ?
En finale, on joue contre l'Inde.
Et du coup, en demi-finale, on a tout donné.
Alors, qu'est-ce qu'on est ?
Est-ce qu'il y a un peu un imaginaire et une culture sur tel et tel pays,
ils sont plus ou moins forts ?
C'est quoi les clichés sur les équipes de pays ?
L'Inde, c'est là où il y a le plus de bug-unters aujourd'hui.
Et du coup, il y a vraiment une grosse communauté.
D'ailleurs, comme j'ai dit, c'est des clubs par pays, mais ceci par ville.
Et l'Inde avait quatre clubs qui participaient à...
Pour dire les termes, qui put la merde ?
Quel quel pays est atroce ?
Non, mais ça, ça, on ne peut pas le dire par pays.
On ne peut pas le dire par pays.
Il a que de dire par pays.
Et pourtant, il n'a pas de pays.
Non, mais ça dépend énormément de profils,
mais on a des profils qui étaient plus débutants,
mais qui étaient hyper motivés.
Et du coup, ils ont été dans les autres équipes moins actifs,
mais ils étaient quand même bien motivés à trouver des trucs corpoux.
Oui.
Ils ont été rodés.
Oui, mais là, les petits pièges que tu m'envoies,
c'est une chose que j'ai vu.
Je suis ouvert, on va la requête.
Je lève.
Les relations presse déjà.
Les RCO.
Il n'y a pas un moment où tu te réveilles le matin
et c'est genre l'armée qui t'appelle.
Bon, écoute, là, on a un truc,
mais ça rigole pas du tout.
Le petit bout de code que je lui ai trouvé, il envoie une bombe.
Non, non, c'est jamais arrivé.
Le gouvernement américain, ils ont un bug bounty.
Et il est public.
Et du coup, en plus, il est connu pour être troué.
Parce qu'en fait, ils ont l'un des plus gros périmètres au monde.
Et du coup, en fait, si tu es un une-teur sur la plateforme,
tu as déjà envoyé une faille au gouvernement américain
sur l'armée américaine.
Et ils dépachent toutes.
Ouais, plutôt rapidement, pour eux, c'est important.
Ouais, d'accord.
C'est un peu genre si vous trouvez une faute d'orthographe sur mon site,
envoyez-la moi, je vous donnerai 7 euros.
Ouais, c'est un peu près ça.
Là, c'est pas la même chose.
Tu peux créer sur ton CV après.
Ah, qui est le gouvernement ?
Ouais, mais ça pète.
Ouais, c'est classe.
On peut mettre le logo.
En vrai, c'est un vieux site du ministère de l'Ariculture.
Ouais, c'est ça.
Ils avaient un livre d'or.
Écoute.
Je suis sûr que sur des vieux sites à la France Connect,
ils ont fait une édouille des gourds juste pour le trophée.
C'est bien fun.
Et du coup, finale, vous donnez tout.
Ouais, on donne tout.
Là, il y a eu un élan de motivation.
Et en fait, on s'est dit comment on peut réitérer ce qui se passait en demi-signal.
Ouais, l'explo.
C'était combien de temps après ?
C'était une semaine.
C'est au tata 4 jours, toutes les semaines.
Je t'imagine comme dans « Olivier Thomme », c'est le mec,
c'est le mec qui a genre tout.
C'est dur 45 minutes pour faire le tour du terrain.
C'est genre, ouais.
Et du coup, là, il y a Zax, Victor et Sarah Zahou, genre vraiment ceux de BZDent,
qui nous pingent tous et nous dit « On a déjà 10 rapports de préparé ».
Pour la finale, ça ouvre à 17h un jeudi et ça finit à 17h le dimanche.
À 17h3, ils ont envoyé 10 rapports critiques.
Et ils ont chiffré plein de points pour nous.
Mais après, quand on regardait, 17h20, 17h40, il y a toute l'équipe qui a rejoint.
Et là, il y a eu des dingrilles qui ont été trouvées.
Et c'était plus que qu'on promette l'infra.
Là, il y avait tout.
Mais c'est quoi la plus grosse dingrille que t'as trouvé ?
Les clés du royaume.
En gros, c'est une expression pour dire « T'as tout ».
T'es l'administrateur suprême.
Ok, d'accord.
Une grosse boîte.
Ouais, là, c'est pas possible de faire plus haut que ça.
C'était un petit royaume ?
C'est un beau royaume.
C'est incroyable, mais quelle passion vous devez avoir quand vous bossez.
T'es dans une équipe de foot pour de bon.
Quand c'est 13 minutes, que tu dois trouver des points, en plus, t'as le score d'en face.
Mais le sauce pas trop, parce que t'as quand même une boîte, je te rappelle.
Justement.
Justement.
Laisse-moi bosser.
La réalité, c'est qu'on te les donne au début.
Les laïcites.
Parce que sinon, on se présume que pendant trois jours, vous préparez des failles.
Ça fait trois minutes que ça.
Commencez de dire.
Ah oui, non, on sait déjà.
C'est tout le programme public.
C'est-à-dire que là, par exemple, tu vas sur Hacker One, tu peux voir toutes les entreprises
qu'on aurait pu pérenter.
Avant de démarrer, vous saviez quelle entreprise ça allait être ?
Mais du coup, c'est pour ça que...
On ne pouvait pas trouver des failles sans rien dire avant.
Mais ça, t'as le droit.
En plus, c'est le but du jeu et c'est ce qu'on faisait aussi un peu.
Eux, ils l'ont fait quand ils ont mis 10 rapports critiques pendant trois minutes.

En plus, le problème, c'est que c'est tous les programmes publics, mais ça ne change pas.
C'est-à-dire que c'est toujours les mêmes.
Et donc, tu dois toujours réattaquer les mêmes boîtes.
Mais du coup, elles sont hyper fortes.
Avec le temps.
Oui, mais voilà, c'est ça.
Le problème, c'est que nous, on était hyper stressés de rien trouver parce que c'est
connu que c'est hyper dur de trouver des failles sur ce genre de boîte.
Et t'arrestes, tu as trouvé quand même les clés du Royaume.
Oui.
C'est quand même beau.
Oui, mais en plus, j'ai une aide d'être là-dessus.
J'étais co avec Brice et Victor.
On était en col.
Et du coup, là, je trouve un petit truc, un petit début de faille et je suis en mode
sapu.
Sapu.
Et sauf que moi, je connaissais moins l'application et eux, ils l'avaient bourréné.
Et du coup, je le renvoie, je leur ai dit qu'est-ce qu'on peut faire avec ce que
j'ai trouvé ?
Et là, 20 minutes après, j'entends Brice faire...
Cénarmiens !
Moi, je trouve un petit truc, je fais, oh, comme ça, lui, il ne fait jamais.
Il ne fait jamais.
Il ne fait jamais.
Et du coup, je savais qu'il y avait une dingue ridère et il me fait, j'ai tout.
J'ai tout.
Et du coup, là, on avait Max collaborer ensemble.
Oui, non, mais en fait, je pense que c'est le seul métier où tu as une adrénaline de
malade.
J'imagine que quand toi, tu fais des transferts de tractopel plutôt élevés, tu as de l'adrénaline
à rush.
Sauf que nous, c'est vraiment à chaque fois qu'on trouve un truc et que vraiment, ça
te prend tout ton corps et c'est une drogue.
Ah mais je pense que c'est la même chose qu'un chercheur d'or qui tape un bout de
cailloux et qui se dit putain, il y en a là-dedans quoi.
Ouais.
Ça doit être pareil.
Mais ça, le bug bounty, c'est exactement pareil.
Mais ta force parfaite, c'est une mine.
C'est en gros que tu commences à creuser et tu dis, j'ai mon filon, je creuse.
Et ça, par exemple, un gars d'équipe a encore courot.
Il a trouvé sa première faille, sa dingue, il a dit, je vais creuser plus loin.
Et il trouve des trucs, mais hyper sombres.
Mais jamais on aurait pensé que ça existe.
Et après, il te lâche genre 5, 6 rapports par rapport à son premier truc qu'il a trouvé.
Et tu es en mode, ah ouais.
Ouais, c'était pas mal.
C'est génial.
Du coup, tu peux avoir cette espèce d'état de trans pas possible.
Et en plus, tu es Blue Team.
C'est à dire que tu vas pas exploiter vraiment le truc.
Tu rapporte les failles et tout.
Tu es des good guys.
Blue Team, c'est plutôt ceux qui défendent.
Non, on est des red team.
Ça veut dire vraiment pour le coup, le fait de l'offensif.
Ça vient de là ?
Non, ça, c'est une distro Linux.
Ok.
C'est un truc différent.
Ouais, mais...
Ils sont fiers.
Ils sont fiers, hein.
Mais tout.
Mais ça existe en plus.
Le truc, c'est que si je comprends bien, c'est juste un petit truc qui vient de s'allumer.
C'est un programme public sur lequel il y a eu un concours, donc vous avez fini champion du monde.
Mais tu trouves les clés du royaume en finale d'un gros truc.
Argent.
En fait, pour chaque faille qu'on trouve, on est rémunéré.
D'accord.
Mais là, les clés du royaume, c'est un truc.
La clé est chère.
Oui.
Voilà, oui.
Bravo les gars.
C'est pas mal.
Très mal.
On le rappelle, tu as dit 9 ans.
Tu n'es pas étudiant actuellement.
Yes.
Et je travaille chez Mano Mano en tant que senior security engineer.
Donc c'est bien fun.
Mais ce que j'adore, c'est que ton titre, ça commence par senior.
Ouais, mais c'est marrant.
C'est incroyable.
Incroyable, mec.
Oh, t'es une brute.
Non, non.
En vrai, c'est juste que j'ai eu de la chance de grandir dans un environnement qui dit,
quand t'es jeune, tu peux penser comme un adulte et on te donne pas de limite.
Et en fait, à partir de là, c'est moi, le problème avec l'école que j'ai eu,
c'est que j'étais très limité.
J'étais en mode, ouais, mais pense comme nous, on veut que tu penses.
Et moi, j'ai eu des parents, des frères et soeurs qui étaient en mode, non, non, non, pense comme toi.
Et voilà, c'est ça.
Et ils m'ont dit, bah tu veux drop le truc tant que t'as un projet derrière, let's go.
Et voilà, c'est ça qui marche.
Pourquoi toi, tes quips, elles s'appellent Bordeaux ? Tu viens de là-bas ?
Non, non, absolument pas.
Moi, je m'embois des quantités.
Mais on connaît le goût de la ville.
Non, on rancère tellement.
Hey, on connaît le goût de la ville.
Hey, je suis carré là.
J'ai beau serre, je veux dire.
On va faire.
Non, c'est une anecdote marrante.
En fait, quand tu devais remplir le formulaire de devenir ambassadeur Shaq Awan,
il te demandait une ville.
Et moi, j'ai mal lu et je pensais que c'était la ville où tu étais en train de remplir le formulaire.
Voilà.
A côté, tu es au-bas.
A côté, je peux...
Bordeaux !
Voilà, tu peux trouver des dingues gris.
Mais en même temps, tu peux faire des écrans-rées comme ça.
Incroyable !
Et du coup, je me suis dit...
Et on m'a dit, mais si tu veux, tu peux changer, tu peux mettre Paris, tu peux mettre Grenoble,
tu peux... Est-ce que tu veux ? C'est l'équipe de France.
Et je me suis dit, là, anecdote, t'es trop fun pour pour la guerre comme ça.
C'est trop stôt, il y a un truc.
Bordeaux pour aucune raison, tout ça.
Mais en fait, je remplissais le formulaire.
Quand j'étais à Bordeaux, j'ai fait 6 mois là-bas.
Et du coup, je me suis dit, ben...
Oui ?
Je me suis dit, je vais répondre !
Je propose qu'on passe à la fameuse explication qu'on a...
Ah !
Est-ce que on pourrait se mettre un peu dans ta peau, tu vois ?
On est pendant une compétition comme ça.
Ouais.
Qu'est-ce qu'elle est le ?
Parce qu'on a un peu parlé de c'est quoi les enjeux,
à voir qui est du royaume, c'est dur de se figurer.
Sans rentrer dans trop de détails, parce que...
Mais, heureusement, on n'a pas autant qu'on aimerait.
Mais qu'est-ce que ce serait, par exemple, un exemple de faille que tu as trouvé ?
Parce que tu peux nous expliquer.
Il y a une faille que j'avais trouvé, par exemple, il y a 6 mois en arrière,
sur une grosse boîte.
Encore une fois, ils m'ont pas autorisé à en parler ce soir.
Du coup, je vais pas dire le nom de la boîte.
Ça s'appelle un attaque par Sandwich.
Sandwich Attaque.
En fait, vous avez déjà perdu votre mode pass, une fois.
Et du coup, vous avez fait Forgot la Swords,
et vous avez un sort de lien avec un token.
Ouais.
En fait, il y a plein de manières de générer un token.
Les liens arrivent dans nos mails et on clique dessus.
Ouais, c'est ça.
Et il y a un identifiant.
C'est ça, il y a un identifiant.
Ouais, c'est ça.
Et dans l'URL, si on regarde, il y a un token.
Et en fait, il y a plein de manières de générer un token.
Et normalement, il doit être unique pour chaque utilisateur.
Le truc, c'est qu'on a découvert que ce token a été généré time-based.
Ça veut dire qu'un instant T où il est généré,
on peut retrouver le temps quand il a été généré.
Et donc là, la logique, c'est de se dire,
j'envoie un reset password sur le compte de l'attaquant.
Du coup, sur un compte que moi je contrôle.
Puis après, j'envoie sur Suïd, la victime.
Puis après, je renvoie sur l'attaquant.
Et du coup, moi, j'ai deux tokens.
Et je dis, Suïd, la victime, il est entre les deux.
Et donc, je fais une différence du temps.
Et comme je vais vous dire, je suis de génération du token.
C'est ça.
Je comprends comment marche le générateur.
Exactement.
Oui, d'accord, ils sont fous.
Et du coup, on re-génère.
Et on avait 600 000 possibilités qu'on devait envoyer en trois jours.
Et donc, ça va très, très, très vite.
Et à partir de là, en fait, on avait un zéro clic à 40 TECOVER.
C'est-à-dire qu'on pouvait prendre le contrôle d'un compte
sans que l'utilateur clique sur un lien.
Donc, c'est vraiment une faille hyper, hyper, hyper critique.
Donc, c'était bien fun.
C'est incroyable.
Vraiment, elle est incroyable.
Elle est compréhensible.
On arrive à se figurer.
Ok, en fait, ils ont réussi à avoir le délai dans lequel se passe le moment
où il générait le TECO Vendor.
Oui, c'est sandwich, parce que tu as deux tokens que tu as.
Et du coup, tu le sandwiches suite de la victime.
Oh là là, c'est un truc de fou.
Oui, c'était plutôt marrant.
Quand je l'ai trouvé, en fait, j'ai pingé mon frère qui est back and dev.
Et je lui ai dit que tu peux me faire un script.
Parce que moi, mes scripts, ils ne marchaient pas, genre je ne sais pas pourquoi.
Et lui, il arrive en cinq secondes, il me code un truc.
Et je fais, je sais que ce que tu viens de coder, c'est 15 lignes de code,
mais c'est de l'or.
Là, concrètement, on a envoyé ça.
Ils étaient plutôt contents qu'on ait trouvé ça.
Et c'était bien réminéré.
Voilà, question con, mais une faille comme ça, là.
Donc en plus, on a l'impression de savoir...
Je suis chaud, je suis chaud.
On a l'impression que ça accesse si tu as.
Si j'ai mis, on savait trouver ce genre de truc.
Combien pour y gagner pour ça, par exemple?
Alors, pour une faille critique, ça dépend énormément des entreprises.
Parce que je suis un qu'entreprise réminère de manière différente.
Ça peut aller entre moyennes 2000 à 5000 dollars la critique.
Et pour les grosses boîtes, ça peut monter à 15000 dollars la critique.
Et par contre, quand on va sur des smart contracts en crypto, des trucs comme ça,
là, il y a pas mal de sous, ça peut aller dans les 100 000.
Et je crois que le dernier plus gros buntiste est un million en crypto.
Encore protocole.
Oui, en fait, moi, j'ai vu ça et je me suis dit,
« Oui, il s'est mis bien le gars. »
Il a l'intention de se dire que...
Et puis surtout, dans la blockchain, quand tu voles de la crypto, elle est suivie.
Elle est traçable.
Donc, ok, t'as volé de l'argent.
Là, le plus gros hack de 120 000 bitcoin de 2016,
ça vient d'être récupéré en 2022.
Donc, six ans après, ils ont récupéré 3 milliards.
Netflix va faire un documentaire.
Enant.
Et donc tout simplement, parce que le mec, il avait volé des bitcoins,
mais c'est des bitcoins, personne sait qu'il les a volés,
mais tout le monde les regarde.
Donc, tu dois les blanchir.
Va blanchir.
Beaucoup de cinéma.
Aujourd'hui.
Les gens pensent que c'est facile, mais pas du tout.
Alors que là, il y a des boîtes qui te regardent.
Tu viens de nous voler 100 millions, tu nous les rends,
et nous, on te donne 10 légalement.
Tu n'auras pas de cachet.
Vous allez.
C'est assez gris comme marché.
C'est compliqué.
Il y a une limite très fine.
Et des fois, il y a déjà lui des hackers qui renvoient une transaction,
parce que du coup, tu parles au portefeuille du voleur.
Et ils te rendent des moshikaka.
Et ça va.
Ah !
Ça veut dire non.
C'est compliqué, c'est un truc de fou.
En tout cas, si les gens veulent se motiver
à prendre la cybersecurity,
nouvement dans le domaine des cryptos,
visiblement, ça peut être rentable.
Oui, c'est pas mal fun.
Et en plus, vu que le code est public,
là, c'est plutôt une boîte blanche.
C'est-à-dire qu'on peut vraiment lire la logique derrière.
Et c'est beaucoup plus facile pour après la casser.
Et donc bitcoin doit être...
Parce que là, pour le coup, au niveau de Scott, là, je connais rien,
mais bitcoin doit être un monstre,
un mur de béton, il n'y a rien.
Ouais, en vrai, c'est rare d'entendre des cyberattacks sur le bitcoin.
C'est plutôt...
Sur le photocall en lui-même, mais sur des établissements.
C'est plutôt sur les smart contracts.
Quand ils sont codés en solidity,
là, c'est des problèmes de logique.
C'est, par exemple, quand tu vas faire des virements
pour passer d'une monnaie à l'autre,
il y a des gens qui ont trouvé qu'il y avait des monnaies
qui, à certains instants, t valaient plus
que celles que tu faisais virement.
Et du coup, ils faisaient qu'on n'avait pas une reste condition.
Ça veut dire que tu vas envoyer tes transactions
plus vite que l'update qui est derrière de la valeur.
Et du coup, tu peux exfiltrer de l'argent facilement comme ça.
Donc c'est pas mal complexe, mais c'est plutôt fun.
Incroyable.
Je pense que tu as donné envie à tout le monde.
Alors évidemment, on avait des questions de type financière et tout,
mais on voit bien que si vous êtes dedans,
c'est parce que vous vous amusez comme des fous
que pareil, il y a un esprit vachement communautaire
d'entraînement et tout qui est vachement sympa à voir.
Trattes-les et leur faire le truc qu'on fait au YouTubeur.
Combien tu gagnes ?
Évidemment, c'est ce qu'on a, évidemment,
on est un peu curieux de savoir ces infos-là.
Mais il faut surtout voir que c'est une commune de dingue
où il y a un vrai esprit d'entraînement.
Oui, en plus, c'est très ouvert.
On peut vraiment rentrer dedans.
Il y a des channels Discord sur Twitter.
Il y a énormément de YouTubeurs qui font des trucs super cool.
Et en fait, on peut apprendre rapidement.
Mais quand on parle de hacker,
on parle de personnes qui ont eu un mindset différent,
une mentalité différente.
Et en fait, le but, c'est toujours de penser de manière différente
et d'aimer péter des trucs.
Et ça, c'est ce qu'on aime.
C'est la tagline.
Penser de manière différente et péter des trucs.
Merci beaucoup, Ronnie d'être venu.
C'était vraiment passionnant, un grand bravo encore.
Merci à toute l'équipe, à nos champions français.
Ça fait plaisir quand même.
La team Bordeaux.
La team Bordeaux, évidemment.
Ça fait plaisir de voir la communauté à un tel niveau.
Franchement, donc gros, j'ai pas trop fait partie.
Merci.
Ah oui ?
De la team Bordeaux, oui.
Je parlais même team Bordeaux.
La team Bordeaux tout à l'heure, juste en face de cette émission.
Tout à l'heure.
C'est la fin de cette émission.
On y arrive doucement.
Franchement, on a passé un super moment.
C'était super cool.
Je sais pas que vous avez apprécié.
J'ai une annonce à vous faire très importante.
Honnêtement, je vous avoue que ça a pas forcément
plaire à tous les gens.
Non mais c'est vrai.
Ça a pas forcément vous plaire.
Il fait des tractopels.
Non, il va mal.
Non, non.
C'est que...
Parce que les gens qui nous regardent ici, ce sont évidemment
les plus motivés qui vont regarder le live, etc.
Donc je sais que d'avant, ça a pas forcément vous plaire de fou.
Mais on a décidé de passer l'émission underscore
à une émission toutes les deux semaines.
Oh !
Une semaine sur deux.
Ok.
Du coup, par mois, j'aurais qu'à Pétule, il y aura deux émissions.
Mais ne vous inquiétez pas.
Attendez, attendez, attendez.
Ça n'a pas le chat, on a pas la pression.
Oui.
C'est vrai qu'on peut mettre des coups de pression.
On a le chat.
Alors, vous avez le sable ou pas ?
Les chats devont des explications.
Il a raison.
Non, il y a des explications qui doivent être fournies.
Ne vous inquiétez pas.
Nous serons quand même en live demain, mercredi, à 19h.
Ne vous inquiétez pas, il y aura un live.
Mais ce ne sera pas une émission underscore.
L'émission underscore sera dans deux semaines.
L'objectif, c'est d'avoir un petit peu plus de temps
pour préparer des émissions encore plus calies,
éviter d'avoir un sur plus de contenu,
d'avoir trop de vidéos, de live assure, etc.
On a plus de temps, on peut mieux préparer nos contenus, nos invités, tout.
Mais, on fait quand même en live,
parce que c'est mercredi 19h,
du coup on n'a pas envie d'arrêter l'habitude, finalement.
Mais ce sera en live totalement non préparé, vraiment,
totalement chill,
où peut-être qu'il y aura une personne qui fera un concept,
une personne de l'équipe,
ce sera moi parfois.
Est-ce que tu vas jongler, par exemple ?
Peut-être, tu vois ?
Non mais vraiment, ça peut être n'importe quoi.
Ça pourrait être...
On va réagir à l'émission de la semaine dernière
et raconter des trucs, des coulisses que personne ne sait.
Honnêtement, ça pourrait être plein de trucs.
Donc ne vous inquiétez pas,
il y aura toujours de live le jeuner redissoir.
Quoi ?
Non mais genre, vous savez, on reprend son passage,
on le double quand il dit les boîtes qui n'ont pas d'argent.
Danne !
Non mais attends !
La sauce, on le met dans le neuf sauce !
Mais une herbe, tu vois !
Mais typiquement, voilà,
on fera des concepts proposés par...
Non mais pas toujours !
Tu veux p... tu veux niquer ton NDA ?
Appuie sur 1.
Donc ne vous inquiétez pas, voilà.
Il y aura des live, c'est juste que
on réduit un petit peu la quantité de contenu
pour faire moins mais mieux.
Et ça c'est bien.
Troye, un tagline et tout, il est insupportable.
Et la deuxième surprise de cette fin d'émission,
c'est que Augustin, qui est sorti
de l'émission Conde Route,
a travaillé sur un fameux tractopel.
Oh, faut que je fasse avec son c...
D'où il a trop d'estimages ?
Elle date de 2012, ici, quoi !
Ça a coup dure, coup dure !
Attends mais il est sémite, c'est un arrive là ?
Je sémite, à priori, ça.
Ok, ça fera pas 12 000 dollars.
Désolé.
Pour le secours populaire, je compte sur ton enchef.
A la fin de la soirée Bordeaux, je peux faire n'importe quoi.
Donc...
C'est migneté, je pense.
On probablement le publiera quelque part pour rigoler.
C'est totalement pour la vanespanne, ne vous inquiétez pas.
Petit récapitulatif aussi des subgifts qui vous étaient perdus.
Un de ma part, 3 de la part de Wend.
Et un de la part de Augustin.
Pourquoi vous avez perdu ?
Parce qu'il fallait pas dire un mot.
Je sais pas comment les donner, toi.
Je ne sais pas.
Donc, on fera la remise de subgifts,
mercredi prochain, pendant le live surprise,
que vous ne savez pas encore.
Donc, ne vous inquiétez pas.
Revenez.
Les gens qui crient...
Je pense qu'ils ont eu le relais, écoutez, mais pas...
Dans cette émission !
Je rappelle donc, le changement qui est important,
c'est qu'on passe l'émission à une semaine sur deux.
Donc, la semaine prochaine, on est live,
mais ce n'est pas un escort.
Et un escort revient dans deux semaines,
avec beaucoup de préparation, des invités super-cool, etc.
Où est-ce qu'on vous retrouve ?
J'ai beaucoup parlé.
Hardisk.
Twitch.tv.com.
On parle de Newstake, le lundi mercredi vendredi à 18h.
Abonnez-vous.
Au when, où est-ce qu'on te suit ?
Sur ma chaîne YouTube, HHR, je fais de la vulgarisation.
Et une fois par semaine sur Twitch,
pour traiter de l'actualité crypto,
et essayer de la décrypter pour dire un peu
qu'est-ce que ça veut dire réellement.
Bien génial.
On suit ça.
Où est-ce qu'on peut tout suivre ?
A 0xFulpin sur Twitter.
Et des fois, je fais des...
On y suit bien, là ?
Ouais.
Et du coup, des fois, je lance des articles
de comment je pète des trucs.
Par exemple, le dernier, c'est comment on a fait
un rétime dans ma boîte,
en un clic prendre le contrôle des serveurs.
Donc allez voir si vous êtes intéressés.
Ouais, c'est plutôt p't'offer.
Tu m'as...
Je vais y voir, c'est vrai.
Merci beaucoup, évidemment,
au Gustin qui nous a accompagné tout à l'heure
sur les sujets de crypto.
Et merci de nous avoir suivis.
Et voilà, je sens que la Régie veut aller voir
j'ai député.
La Régie veut aller voir.
Et c'est bon.
Il y a un vrai problème dans cette émission,
on peut en parler.
C'est qu'avant, il y avait un format qui s'appelait Balperdu,
qui était un format pré-orgistré,
et qui me permettait d'aller uriner en milieu d'émissions.
Je ne l'ai jamais vu, je truque en live.
Et maintenant, qui a plu, c'est vrai que c'est complexe.
Mais ça va être remplacé.
Ça se termine aussi, c'est ce que t'es en train de me le dire.
Je suis un...
Un sable de me pisser dessus depuis une demi-heure.
C'est terrible.
Ce format va revenir sur une autre forme.
Et il était vachement bien ce format.
Ce sera.
Si tu ne le résumes à la vie de ta vie.
Merci à vous de nous avoir suivis.
Merci beaucoup au modérateur.
On ne les oublie pas, qu'il faut un...
C'est plutôt la grosse balperdu.
Un travail.
Putain.
C'est pour ça qu'il est bornaud, Fyro, c'est ça.
C'est la soirée, bonbon.
Et puis, merci aux chats de Parti Billard.
Je vais essayer de le confier en cette amicière.
Non, tu ne coupes plus rien du tout.
On fait des blagues de beaux avec Acheur.
J'ai tiré blanche faci à la 7e, je le dis.
C'est vrai que la barbonneuse, je n'ai plus ta vie.
J'ai plus ta vie.
Ce mec reste un sable de millions d'euros.
T'as tué Régal.
Merci de nous avoir suivis.
Merci à tous les gens qui ont tout été.
Et puis, à la semaine prochaine donc.
Bonsoir.
Ciao.