Pourquoi Banque Populaire est la première banque des entreprises ?
Je me posais des questions sur le partage de la valeur pour mes salariés.
Elodie, ma conseillère Banque Populaire, m'a proposé une solution d'épargne salariale sur mesure,
rapide à mettre en place et que je peux piloter en ligne.
C'était simple et surtout ça a fait des heureux.
Accompagner nos clients sur tous les territoires avec des solutions adaptées à leurs besoins,
c'est ça, être la première banque des entreprises, Banque Populaire, la réussite est en voulue.
Étude Quantar PMEP et Mid-2023, 14 Banques Populaires, 1ère Banque des PM.
Mesdames et messieurs, aujourd'hui c'est une émission très spéciale
puisque c'est une émission sur le thème de la sécurité, du hacking.
Et voilà, on va pouvoir discuter de tout ça, ça fait longtemps que je n'ai pas parlé sur ma chaîne ici.
Donc voilà, ça fait du bien.
On va pouvoir parler de plein de choses hyper intéressantes avec mes deux invités que je vais vous présenter maintenant,
qui sont Vincent.
En fond, allez-vous bonjour.
Vincent Tuer, le directeur sécurité de N26.
C'est ça.
Vous connaissez déjà Vincent.
Il a fait un cameo sans être vraiment là dans ma vidéo où je vous présente cette émission.
Je tiens près si c'est quelque chose, c'est que cette émission ne serait pas là sans lui.
Donc je veux un tonnerre d'applaudissements.
Mark Nord dans le chat pour Vincent qui a l'origine de tout ça en fait, on peut le dire.
Je pense que c'est beaucoup de gentillesse qui sont des assassins.
Non, non, non, c'est vrai.
C'est vraiment génial d'avoir ce tonnerre d'applaudissements pour toi.
Donc c'est bien légitime.
Et mon deuxième invité, c'est Bitca qui est une star d'Internet.
On peut le dire.
Pas vraiment.
Depuis ton passage ou ça, à Popcorn, je pense que vous êtes beaucoup à l'avoir vu là-bas.
Il y a beaucoup de clappes, toujours beaucoup de clappes.
Bitca, est-ce que tu peux nous expliquer ce que tu fais dans la vie tout simplement ?
Ben moi je suis un parti chercheur en cyber sécurité et en partie développeur d'outils open source pour nos amis de Hacker.
Ok.
Donc tu es un hacker gentil.
C'est ça.
Et puis j'ai vu sur la vignette Popcorn.
Voilà, je suis un white hat.
Voilà, c'est ça.
Et donc t'es passé chez Popcorn pour parler de hacking, c'est quand même ouf.
Tu peux juste expliquer comment ça s'est passé ?
Parce que parler de hacking sur les antennes, sur les antennes de, enfin les plus publics, c'est stylé quoi.
Alors en fait mon colloque, il y a le développeur de l'application Rungame qui s'utilise d'un Popcorn pour le quiz.
Et du coup il était en relation avec le Redhack en chef.
Via colloque interposé du coup.
Voilà, il y a colloque interposé.
On a eu le Redhack en chef qui soit aussi ami de Popcorn et de mon colloque.
Et on a bu des bières.
Je dis que c'était un peu de ce que je fais dans la vie.
Mais c'est trop intéressant.
Viens dans Popcorn.
Trop bien.
J'ai vu le passage, c'était excellent.
Je pense que la communauté était utadime pour dire que t'as montré une belle image de l'infosec.
Donc ça fait trop plaisir.
Bonne technique ça, le colloque je retiens pour les petits passages.
Je vais vous présenter un petit peu quel est le programme de la soirée.
Je tiens à vous dire déjà qu'on a énormément de choses à voir.
C'est pas sûr qu'on arrive à parler de tout.
Parce que c'est un gros morceau.
Les thèmes de la cyber sécurité.
Qu'est-ce que c'est être un hacker.
Qu'est-ce que c'est découvrir une vulnérabilité.
Qu'est-ce que c'est contacter une entreprise pour la prévenir qu'elle a des failles.
Comment les entreprises peuvent faire pour se protéger.
Qu'est-ce que c'est un bug bounty.
Déjà c'est trop.
Il y aura des sélections.
On va essayer d'être le plus exhaustif possible.
N'hésitez pas à poser vos questions sur un mesure comme d'habitude.
Si vous en avez.
Et puis voilà quoi.
Déjà, un truc que j'oubliais de faire à chaque fois.
Mais c'est les petits call to action des familles.
Je suis pas encore un streamer officiel.
Je me mets à l'exercice.
Donc ne critiquez pas.
Mais n'hésitez pas à suivre cette chaîne.
Si vous voulez pas rater les prochains lives.
Qui sont tous les mercredis à 20h.
20h05.
20h10.
20h30.
Ça peut arriver.
Ça peut arriver surtout quand tient Emmanuel Macron.
Qui entraîne parler en même temps.
Et vous abonner à la chaîne YouTube.
Et aller cliquer sur le petit lien qui passe dans le chat.
Pour aller découvrir N26.
Notre merveilleux sponsor.
Sans qu'il y ait une soirée possible.
Et dont l'ambassadeur est présent aujourd'hui.
Vincent.
Avec qui on discute depuis un moment.
Ça fait combien de temps qu'on discute ensemble ?
Je pense que ça fait à peu près 2 ans.
Quand t'avais contacté certaines équipes à chaîne 26.
On t'avait reçu pendant quelques jours.
On va bien visiter les locaux.
Je suis venu à Berlin.
Quelle souvenir.
En vrai j'ai trop aimé.
Décourgé la ville.
Ça faisait très longtemps que je n'étais pas allé en Allemagne.
Et puis voir tout de l'intérieur d'une...
Comment on dit une FinTech ?
On dit ça.
C'est une FinTech.
Une banque en ligne.
Une banque de la finance.
Il y a des FinTechs qui ne sont pas des banques.
Ils visent vers ça.
Des produits financiers et autres.
Nous on est une banque en ligne.
Avec un agrément en banque.
Voilà.
Donc ça veut dire que t'as un nez.
Oui donc ça c'était la vidéo que j'avais fait quand j'étais venu chez vous.
Et puis à ce moment là.
Tu m'avais accueillie gentiment.
Et on peut le dire.
J'avais passé 2 jours à ta charge.
Et tu m'as expliqué que des trucs comme ça pendant 2 jours.
C'est l'avantage de faire des vidéos sur YouTube.
C'est qu'on part des preuves particuliers.
Donc c'est cool.
C'était sympa.
C'était excellent.
Enfin moi ce que je recherchais.
C'est de montrer que le fait qu'on peut ouvrir les portes d'une banque.
A les personnes.
Qu'on doit évidemment faire un peu attention.
Et qu'il y a des choses sur lesquelles on peut discuter.
Et que cette image de la banque qui est fermée.
On peut rien voir.
Et que ces secrets derrière et autres.
C'est un peu superflu.
Et qu'on peut se poser des vraies questions.
Et je pense.
Voilà.
C'est un peu ces images là.
De voir comment commence un paiement.
Et où il finit.
Toutes les actions.
C'est ça que j'ai découvert.
Tu montres aussi des logs de quoi.
Comment ça marche exactement ces transactions.
C'est ça.
En fait moi je ne m'attendais pas à ça en venant.
Je ne sais pas tu ne te réveilles pas le matin en disant.
Je vais aller chez CIC.
Ils vont me montrer leur backlog.
Et je vais regarder ce qui se passe dedans.
Et comment tout marche.
Et quels sont les outils.
Les technos qu'ils utilisent.
Comment ils...
Quelle est leur sécurité.
Une banque qui parle de sa sécurité.
Ça craint normalement.
Mais là.
En fait moi je suis arrivé.
Et clairement j'avais.
Alors dans le respect du cadre lagal bien entendu.
Régulièrement je ne devais pas regarder.
Certaines choses.
Mais c'était hyper intéressant.
D'aller vraiment loin.
Dans les profondeurs.
Et j'ai vu des trucs pas propres.
J'ai vu des trucs dans le système.
Pas chez une Vincis bien entendu.
Mais dans le système bancaire.
Des outils des technos.
Mais qui remontent à des années.
Je sais pas.
Au moment où les banques se sont numérisés.
Mais t'avais du FTP.
Des scrapping tous les jours.
Tu as vu les langages aussi.
Tu vois de plus en plus.
Ouais.
Mais après ça fait les bonheurs de certains.
Chercher en supersécurité aussi.
Ça me donne du taf.
Tous ces vieux codes.
Les gens les ont oubliés.
Et puis il y a aussi le côté les banques.
Il n'y a pas grand monde qui essaie de hacker les banques.
Parce qu'il y a trop de risques.
Et puis il y a aussi le fait d'assurer et s'y protéger.
C'est pour voler les gens.
C'est un gros morceau.
C'est pas la meilleure technique.
C'est bien dans les films.
Mais dans la R&D c'est pas les banques les plus...
Les plus juicy quoi.
Je pense pas non.
Il y a aussi plein plein.
Quand on regarde dans la banque.
Il y a beaucoup beaucoup de niveaux de sécurité.
Ils font très attention à que ce soit pas simplement.
Bah j'ai trouvé une faille de sécurité.
Et même si je l'explore directement je ressors avec l'argent.
Il y a tellement de niveaux opérationnels.
Aussi derrière.
Qui vont plus loin que le technique.
Et on est très très très contrôlé.
Très audité.
Mais après je pense qu'il y a des entreprises qui essaient d'approcher la sécurité.
Ou des fintech.
De manière différente.
Et d'utiliser des méthodes un peu plus modernes.
Ce basant sur ce que font des grandes entreprises.
Dans le secteur.
Les gars faillot.
On a des équipes de sécurité.
Qui sont absolument incroyables.
Et des approches de la sécurité.
Il y a quelques problèmes avec Facebook ces derniers temps.
Ou les choses comme ça.
Ne pas en parler.
Je sais pas si vous savez.
Parce que ça sort un peu du cadre de la technique.
Mais comme c'est du légal par rapport à la CQ.
Peut-être que vous avez des informations.
Mais il y a Ardis qui me disait ce matin.
Si on était aux États-Unis.
Cette histoire avec Facebook.
La de l'IQ.
Est-ce que vous pouvez peut-être réexpliquer ce qui s'est passé avec Facebook.
Je ne sais pas celui.
Comment il s'était fait AQ.
J'ai su qu'il y avait beaucoup de données qui ont sorti.
Dans le numéro de téléphone.
Les mails.
En gros, méga-lique je ne sais pas si t'as une...
Je ne sais pas non plus.
Exactement.
Je ne le voyais pas.
Fais gaffe à ton micro.
En 2019.
Il y a eu cette leak.
En gros ce qui se passait.
Il n'y a pas eu un coeur qui a volé une boîte de données.
Il y a des personnes qui se sont rendu compte.
Il y a une façon de scraper.
Ou de collecter les informations.
Cetes informations qui étaient publiques sur les profils Facebook.
Mais sans limite.
Donc c'est l'information qui était publique.
C'est par exemple si la maitre choisit dans tes options.
Avec la recherche Facebook.
Le grapheur.
Non.
Je crois que c'était pas ça.
Peut-être.
Ça me disait un truc.
Ça va dépendre.
Il y a tellement de features.
Facebook, tu peux avoir l'information de plein de manière différente.
Par les services d'Ads.
Par les posts.
Par les amis.
Par les groupes.
En fait il y a plein de façons d'avoir accès à l'information.
Et du coup il y a des gens qui se sont amusés à créer une grosse base.
Et je pense que à la taille de Facebook.
Tu vois quand tu es une entreprise dans lesquelles tu as un million de clients.
10 millions de clients.
Quand tu passes sur du Facebook et tu parles de milliards de clients.
C'est vrai que détecter une anomalie.
Le 1 million de requêtes.
C'est plus.
C'est pas si mal que ça.
C'est pas tant que ça.
Donc ça devient bien plus difficile de détecter des patterns malicieux.
À grande échelle.
Et je pense que c'est ça qui leur posait problème.
Parce qu'ils ont eu une type de faille similaire il y a quelques années.
Où il y avait un token.
Qui avait utilisé une façon d'escalader des privilèges.
D'avoir accès à des comptes.
Et c'était exploité à grande échelle.
Pendant une grande période de temps.
Sans qu'ils le détectent.
Alors c'était vraiment fraudulent.
C'est cette grande échelle qui doit être complexe pour moi.
Il y a tellement de tests sur Facebook.
T'es noyé mais de ce bruit.
Les échelles sont complètement différentes.
Je pense qu'un site français.
S'il a 1 million de données qui se baladent.
Ou 1 million de requêtes.
C'est des échelles où on le voit.
Il crache.
C'est pas si liquide.
C'est que tu as un futur.
C'est intéressant.
C'est le NT de chez plus quoi qui a craché il y a pas longtemps.
Ils ont dit que c'était OVH.
Et après ils se sont repris.
Ils ont dit.
Ouais en fait non.
C'est une attaque informatique.
Toujours des champions.
Mais la question de Hardisk c'était.
Si on était aux États-Unis.
On ferait une class action.
Je sais pas si vous souvenez de Equifax et tous les gros lits.
Mais tout le monde était payé.
Pas payé du coup.
Mais était dédommagé de l'intrusion dans la vie privée que ça peut représenter.
En France on a des trucs comme ça.
Si j'ai des trucs chez Facebook je peux aller leur envoyer une petite lettre pour qu'ils me fassent un verre.
C'était ça la question.
Vous savez pas.
Végalement je pourrais pas te dire.
C'est intéressant en vrai.
En tout cas si il y en a dans le chat qui sont un peu plus suristes.
Tu veux les gratter de la thune à Zucerber ?
Oui mais ça peut.
Si on peut se mettre bien un petit billet tranquille.
Sans rancune.
On a des autorités.
On a l'Act Nile en France.
Après on a aussi dans chacun des pays en Allemagne on a aussi des autorités spécifiques pour ça.
Il y a aussi le gendarme européen.
D'un point de vue européen je sais que la façon la plupart des entreprises sont contrôlées.
Je m'église que d'entreprise ça doit être sûrement la même chose.
Ou si jamais on traite les données de nos utilisateurs de manière pas légale on va dire.
On les garde trop longtemps.
On ne classifie pas.
On ne quantifie pas.
On ne justifie pas.
On a la nécessité de procéder ces données.
On donne cette information à nos utilisateurs.
Le gendarme va venir toquer à la porte.
C'est très très strict.
Il n'y a pas longtemps.
Je ne ferai pas donner le nom de la boîte.
Mais une boîte qui a une faille de sécurité.
Je me demande si ce n'était pas lui.
Et qui a remonté Airbnb.
Remonté la faille de la communauté qu'ils avaient eues.
Je crois 22 jours après l'incident.
Le gendarme va te donner des informations.
Tu dois déclarer que c'est un incident de sécurité.
Après 3 jours, il y a des informations des utilisateurs.
Du coup, directement la mende.
Les amendes peuvent aller très hautes.
Dans certains pays, même si c'est du pourcentage.
Pas que du profit.
Mais sur le chiffre d'affaires.
Et là, ça peut chiffrer.
Quand tu t'appelles Google, ça peut être vraiment vénard.
Mais on a dit que c'est le point d'infos, de télécom.
Il y a deux ans, c'était de 1 million d'euros.
C'est très bon.
Ça ne devient plus un ticket que tu peux acheter pour contester la loi.
Quand tu as atteint Google, 2 millions de euros.
C'est un ticket de métro.
Tu rentres pour bypasser le système.
C'est tranquille.
Je ne pense pas que la mende te revienne chez toi.
Tu viens de te plaindre demain.
C'est ça le problème.
Dommage.
C'est dommage.
L'argent, c'est génial.
Première question.
Est-ce que vous pourriez me définir le hacking ?
C'est quoi un hacker ?
C'est du bug contrôlé.
Ok.
J'ai une intuition de ce que tu veux dire par là.
A king, ça va être de prendre quelque chose et d'en faire d'autres.
C'est-à-dire quelque chose qui a été fait pour en un service, pas qu'une utilité.
Mais qu'est-ce que je peux faire d'autres avec ça ?
Qu'est-ce que je peux réinventer en ayant que ça ?
C'est marrant.
Je la trouve hyper intéressante parce qu'elle va bien au-delà de la cyber sécurité.
Donc en fait, il y a peut-être des gens qui font du hacking sans faire exprès de temps en temps.
Quand ils se utilisent, je ne sais pas, des gens du marketing qui utilisent un...
On prend l'exemple de craiglist et tout, qui utilisent ça pour à derrière propulser leur...
En fait, même le mot hacking, au départ, il ne venait pas pour la cyber sécurité.
Il vient d'abord de ce côté-là des créateurs qui s'est démodifié,
qui après, du coup, était récupéré par la toute la partie cyber sécurité, les pirates, les machins.
Et maintenant, qu'ils reviennent, on voit de plus en plus sur Internet, des life hacks, des trucs, des mots hack.
Des bros hacks.
En fait, qui étaient la variatisation du mot hack.
D'accord, donc ça revient, son origine peut-être.
T'es d'accord avec ta définition, en fait ?
Tout ça fait.
Mais c'est génial aussi de montrer que le hacking, c'est pas simplement le côté méchant noir.
Il y a plus de ça.
C'est vrai que tu as une capuche de noir aujourd'hui.
Mais c'est pour être plus crédible.
C'est ça, c'est pour la street cred.
Mais voilà, il y a plein de choses qui sont de la création, qui sortent de hacking,
puisque ce sont les personnes qui disent hacking, c'est les personnes qui cassent, qui rentrent, qui pénètrent, qui détruisent ou voilà, breaking.
Tandis qu'il y a plein de choses sur lesquelles l'innovation est haute, c'est bien, on avait ce téléphone,
ou c'est pas quoi, on s'est rendu compte qu'on peut utiliser le signal simplement pour envoyer une information analogique,
on peut peut-être passer d'autres informations, essayer de détourner l'usage.
Récemment, il y a un gars qui a fait un site pour accéder aux vaccins plus rapidement,
où il se base des données publiques de Dr.Lib pour créer un truc.
Et c'est un peu ça en fait, il a donné des publics, d'ailleurs qui étaient pas publiques, il aura demandé de l'accès.
Il met des booths coachs et puis en fait à la fin...
Voilà, et il y a un truc qui est pas mal avec ce que je pouvais faire,
est-ce que vous pouvez pas m'aider un peu à l'un peu plus loin, qui est accessoire prototype ?
Ouais, ça ça, on peut dire que ça avec tuant.
Ça me fait penser à ton invité qui t'avait choisi,
il y a Minou Dossman qui avait fait ce bot pour Deliveroo, je crois, c'est vraiment bon là.
Oui, c'est cet esprit-là un peu plus.
Et c'est pas malitieux, c'est...
Il y a un autre terme qui est hyper connu du grand public
dont toujours ces trucs là mystiques,
Racking, Dark, ouai, machin, c'est
White & Black Hat. Alors ça moi, vraiment c'est...
J'en ai entendu parler que via des gens,
c'est-à-dire que j'ai jamais vu discuter avec un professionnel qui m'a parlé de ces choses-là, tu vois.
C'est toujours, c'est un terme qui apparaît,
j'ai l'impression que dans la pop culture et qui n'est utilisé par presque personne, en réalité, j'ai l'impression.
Qu'est-ce que ça veut dire, d'où ça vient ce truc ?
En fait, c'est pour dire juste légal ou illégal, mais c'est des termes qui ne servent pas vraiment.
Ouais, c'est ça.
Parce que personne va se revendiquer Black Hat.
Et de toute façon, c'est juste dire, ouais, c'est incliné,
et après il utilise la cyber sécurité.
Donc en gros, c'est chapeau blanc, chapeau noir, chapeau blanc, je suis gentil, chapeau noir, je suis méchant.
Voilà, c'est ça.
Et il y a des gens qui disent qu'ils sont milieux.
Et du coup c'est des Grey Hats.
Ouais, tu peux définir ça en fait, si tu n'es pas d'accord avec mon gouvernement,
tu fais quelque chose qu'interdit par eux, mais que tu estimes que tu as le droit
parce que éthiquement, tu vas être ça, tu vas...
C'est par exemple que tu suis ta morale, mais que ta morale outre-passe le légal.
Les lois, ça serait du Grey Hats.
Ok.
Mais ça, ça va être à l'appréciation de tous les uns.
Ouais, c'est un peu des termes fortougés, l'impression.
Enfin, je pense que ce que tu fais aussi au niveau de la loi,
tu as de temps en temps, tu es mis dans une situation où
tu trouves quelque chose,
ou tu es encouragé à essayer de trouver quelque chose qui ne va pas.
Et en fait, par défaut, sans faire exprès,
tu as trop utilisé tes accès, tu avais l'arrêté Bluetooth,
je crois qu'il y avait qui est très connu,
qui était...
À partir de quand on dit que c'est quelque chose qui est malicieux,
et qu'on dit que ça a été quelque chose qui doit être...
Si je me souviens bien, lui, c'était avec des recherches Google,
c'est-à-dire que vraiment, il était à base de moteurs de recherche,
il tombe sur une page web,
qui était sur un serveur dont les propriétaires ne voulaient pas...
qui pensaient que c'était des données privées,
et du coup, il était condamné pour ça, si j'ai compris.
Ce qui a été sanctionné, c'est pas le fait qu'il ait eu accès,
ce qui soit maintenu.
C'est la notion de se maintenir dans le système,
alors qu'il n'y avait pas besoin d'être maintenu dans le système
pour remonter le problème.
Et c'est là où ça devient...
Comme je dis, il n'y a pas...
ça veut dire très peu de choses.
Pour moi, un placard, c'est vraiment le côté, comme je dis, c'est criminel,
et tu vas utiliser, et même l'intention,
il y a plus l'intention en criminel derrière.
Mais l'intention est importante, je pense.
Oui, tout à fait.
Dans les jugements, dans les guènes, l'intention est énormément...
beaucoup d'importance.
Et je pense surtout aussi, c'est...
T'en sens un peu blessant quand t'as des...
qui essaient vraiment, ils ont une bonne attention,
ils essaient de tout faire, et la loi n'est pas vraiment de leur côté,
parce que c'est des lois qui sont un peu vieilles et autres,
et d'être mis dans une situation où tu dois acter,
t'as l'impression de faire des choses qui sont un peu illégales,
alors que non, tu essaies de faire le mieux,
avec l'information que t'as, et ce qu'on t'explique.
Et je crois que l'ANSI, aussi à ce sujet,
l'ANSI s'est mis à supporter un peu d'une initiative
en permettant à les personnes qui étaient mises dans une situation
où ils avaient peur de remonter une file,
en les autorisant à remonter ces files
directement à l'ANSI ou au Cossi,
et que le Cossi après, allait s'occuper
de contacter l'entreprise.
On le fait, ça par exemple avec ESPYAC, on a un service...
Est-ce que tu peux nous expliquer, tu as mentionné,
ESPYAC, c'est l'occasion d'expliquer aussi ce que tu fais,
dans la vie.
Alors, ESPYAC, c'est une plateforme de bug-boontie.
Le bug-boontie, qu'est-ce que c'est ?
On a le droit de mettre en relation des hackers et des entreprises.
Les entreprises veulent se protéger,
les hackers veulent hacker des trucs,
et ils veulent faire de l'argent avec ça.
Et du coup de dire, bah voilà, venez nous hacker, nous,
on est open avec ça, et si vous trouvez des bugs,
on vous récompense, on vous file des sous,
et ça se passe comme ça.
Et nous, on est là pour la promotion.
Et donc ESPYAC, pardon, je l'ai coupé.
C'était pour le service.
Oui, on a un service qui s'appelle 0disclos,
qui permet de remonter des bugs anonymement.
Et nous, on s'occupe de faire le lien après,
et on signe tout ça, on laisse la propriété du bug au hacker,
pour autant donner l'identité.
Après, souvent, ils se mettent en relation,
parce qu'il n'y a pas de problème, mais...
Mais cette relation-là entre entreprise et hacker
qui trouve des failles, je la trouve hyper intéressante.
Je pense qu'on pourra revenir dessus,
parce que c'est un pavé, il y a énormément de choses à dire.
On aura, c'est sympa, parce qu'on aura à la fois le côté plus marque.
Chez N26, il y a un bug-boontie, donc tu vas pouvoir nous raconter un peu
comment ça se passe toi à côté entreprise,
ou tu autorises quand même à des hackers
à trifouiller ton produit.
Donc c'est quand même un truc spécial à raconter.
Et toi, tu pourras peut-être nous parler de...
Je sais que tu en fais un peu moins maintenant,
mais de la partie bug-boontie, et comment en tant que...
Enfin, vous, peut-être, qui regardait ce live,
vous pourriez gagner de l'argent en naîtant des entreprises
à mieux se protéger.
Donc, c'est quand même intéressant comme concept.
Vincent, tu m'as parlé d'une anecdote, et je me suis dit,
OK, si je dois montrer aux gens qu'est-ce que c'est le hacking éthique,
je pense qu'il n'y a rien de mieux que de raconter
comment une de tes aventures s'est passée.
Parce que, du coup, avant de Chez N26,
t'as fait des recherches de vulnérabilité,
tu continues à en faire toujours maintenant,
sur ton toit libre, j'imagine, que tu te balades
sur des sites de tout, en fait.
Est-ce que tu peux nous raconter,
tu m'as parlé d'une vulnérabilité que tu as trouvée
dans un grand télécom français, on ne peut pas dire les noms, d'accord,
mais dans un grand télécom français,
tu as trouvé quelque chose en 2017, si je crois bien.
Ouais, c'est ça.
C'est ça, ouais, Vannu, Vincent.
Est-ce que tu peux nous expliquer ce qui s'est passé ?
Et juste pour moi, un peu dans le concept,
on ne peut pas mentionner les noms, quoi que soit,
c'est pas secret ou si il y en a chose.
Mais si ça fait bien de dire ça, c'est secret, secret défense.
Non mais c'est surtout, aussi, ne pas se dire que
ces personnes-là ont fait des choses mal, absolument,
c'est des choses qui ont super bien réagi de l'autre côté,
des choses qui sont très bien.
Est-ce que je dis toujours, quand on voit des chercheurs
qui publient des bugs sur la société,
vous savez que maintenant, la société, elle a le plus le bug, en fait.
Et que pour tous les autres qui n'ont pas voulu autoriser les chercheurs,
eux, ils ont peut-être potentiellement encore ce même bug.
Tout à fait.
Et nous, on le voit, toutes ces entreprises qui arrivent et qui font
mais non, la sécurité, ça ne nous concerne pas
et on ne fait pas de bug-bounty-programme
et on n'encourage pas à chercher des vulnérabilités
parce que l'on n'en a pas.
Et la réalité souvent, c'est que ça n'a pas de vulnérabilité.
C'est que je n'en as pas, c'est l'équipe de sécurité
qui cherche à trouver les failles qui...
Après, on n'a pas de bug.
C'est ça.
C'est un peu la technique de l'autre.
Réellement.
Voilà.
En fermant les yeux, tu n'as plus de bug.
C'est fou.
Ça fonctionne hyper bien.
J'ai vu ce qu'il y a un certain moment.
Voilà.
C'est ça.
L'entreprise ferme au bon amour.
Mais ce bug, enfin, ces problèmes-là,
il était assez marrant
parce que c'était déjà pour montrer que
tu n'as pas besoin tout le temps d'avoir beaucoup de connaissances
pour trouver des failles qui sont très impressionnantes
et que c'est le niveau investi
pas tout le temps proportionnel à l'impact d'une faille.
C'est quelque chose que je vais vous aller voir avec ce type de faille.
La deuxième chose qui était marrant,
c'est de voir comment ça se passe
lorsqu'on remonte des failles
avec des grands acteurs,
présents desquels comme Français,
et de voir des relations
qui y a avec le gouvernement de temps en temps,
parce que c'est des entreprises
qui ont le support aussi d'entités nationales.
Toutes les entreprises ne sont pas regardées
de la même façon par l'État, en fait.
Et aider de la même façon aussi,
parce que c'est des grandes questions.
Si ton boucher ferme à cause d'une attaque informatique,
c'est pas très grave.
Par contre, si ton opérateur
rend la moitié des pays inaccessibles,
c'est plus chiant.
Tout à fait.
C'est bien compris.
Exactement.
Même à l'époque plus loin,
ces systèmes-là sont utilisés par le gouvernement.
Ça pourrait aller loin.
Du coup,
comment ça avait commencé ?
Je crois qu'à cette période-là,
je cherchais des vulnérabilités chez N26.
Je suis rentré chez N26
moi en remontant des failles à N26.
Et pendant cette période,
j'ai trouvé des failles chez N26.
Un moment, j'étais redirigé
vers une page d'une box
de mon opérateur que j'utilisais.
Et je trouvais ça un peu bizarre,
parce que j'essayais d'accéder
à une URL d'un domaine de N26.
Et moi, ça m'a redirigé vers la page
de ma box.
Et j'y arrivais pas à comprendre.
Et du coup, en regardant un peu plus loin,
je me suis rendu compte
que ce domaine-là redirigiait
vers une adresse IP
de mon réseau local,
de chez moi.
À partir de là,
je me suis dit...
C'est quand même pas...
Si, juste pour bien sûr,
mais t'avais une page de connexion
d'une box
dans ton réseau local.
Exactement.
Alors que c'était pas ta box.
C'était pas ma box.

C'est du même opérateur,
mais pas la mienne.
Et t'as du mal un peu
à réagir sur ça.
T'essayes de penser
à toutes les autres possibilités.
Parce que ça serait trop gros.
Tu ne fais pas censé
accéder au box.
Concrètement,
ça veut dire que soit
t'as ton voisin qui s'est ramené
avec sa box,
qui s'est branchée,
qui a fait « tok tok » chez toi,
qui s'est branchée,
soit il y a un gros, gros bug quelque part.
C'est ça.
Et surtout, tu dis,
ce n'est pas possible
que ce genre de gros bug
arrive et ne soit pas détecté
dans des encembles qui soient si grosses.
Et au final, si,
ce bug était présent et en fait,
je ne sais pas si notre
personne aménage de la vie...
C'est Gavin, c'est Gavin son nom.
Gavin arrive à mettre un déchet.
J'ai dessiné un petit schéma
pour essayer de pointer les différents...
On va essayer de l'enlever.
Il n'y a aucun soucis.
Il n'y a pas de soucis.
En gros, ce que je vais essayer
de vous montrer,
c'est que vous,
vous êtes chez vous,
vous avez le laptop tout en bas à droite.
Et ça, c'est votre ordinateur
quand vous êtes connecté chez vous,
à votre wifi de votre box.
Et après, il y a la box.
Et vous voyez, vous avez des adresses IP.
Vous connaissez sur des adresses IP
qui sont similaires.
Ça, c'est vous.
Mais votre box, chez votre opérateur,
elle fait aussi partie du réseau
de votre opérateur.
Donc il y a plein de boxes
qui sont aussi toutes connectées
aux, on va dire, routeurs du télécom.
C'est énormément vulgarisé,
aux gens de choses,
mais il n'y a pas de soucis.
Et j'ai mis en verse qui est normal.
Ce qui est normal, normalement,
c'est vous, vous parlez
de votre ordinateur à votre box
et votre box, elle part
aux routeurs du télécom,
puis ça va sur Internet.
C'est le chemin vert.
Et ça, c'est tout à fait normal.
Mais ce qui n'est pas censé être normal,
c'est que vous puissiez partir
de votre ordinateur,
parler à votre box,
et après, via le routeur du télécom,
parler aux autres boxes
de tous les clients.
Et quand c'est un gros opérateur,
vous regardez combien,
enfin, c'est des millions.
Parce que, pour les gens qui ne sont peut-être
pas hyper calés en réseau et tout.
Pardon, oui.
Non, non, non, mais c'est normal.
C'est justement l'intérêt,
c'est de pouvoir rentrer un peu
dans les détails.
Pour les gens qui ne sont pas hyper calés
en réseau,
ce que t'appelles un réseau
ou un sous-rèso,
c'est imaginer votre wifi chez vous.
C'est-à-dire que vous pouvez
discuter avec tous les appareils
qui sont dans votre réseau.
C'est un espace clos.
Donc, il y a une notion de privé aussi.
C'est-à-dire que vous pouvez accéder
à votre imprimante qui est connectée
à votre wifi.
Mais le voisin ne peut pas.
C'est l'avantage.
Sinon, il va imprimer des trucs.
C'est pour ça qu'on ne met pas de mode pas
sur nos imprimantes.
Parce qu'on se dit que sur notre réseau,
à priori, il n'y a que nous...
Exactement.
Il y a plein de choses.
Normalement, un réseau,
c'est censé être son petit jardin.
Donc, ce que tu es en train d'expliquer,
si je dis bien qu'on prend une fois,
c'est que tu peux sortir de ton jardin
et aller dans le jardin du voisin.
Et de beaucoup, beaucoup de jardin,
de beaucoup, beaucoup de voisins.
Et on parle de millions, tu vois.
Et le problème, c'est quand...
C'est beaucoup ça.
... comment ça te permet à la porte
et aussi à chercher là.
Tu te rends compte, mais attends,
je suis sur mon réseau,
parce que c'est du réseau local.
En fait, tu ne suis pas sur Internet.
Donc, tu ne sais pas si c'est chez trop
ou chez quelqu'un d'autre, en vrai.
Et il n'y a pas que des box connectés
à ce réseau d'un grand télécom.
Il y a aussi ces serveurs,
il y a beaucoup de choses.
Et c'est là où tu commences
à voir l'impact et l'importance
de ce genre de choses.
Et de temps en temps,
quand tu es mis dans des situations
comme ça, c'est là où ça devient
intéressant.
On va dire de la façon...
Comment est-ce que tu remontes
ce genre de faille à un grand télécom
en te protégeant, en faisant attention
à ne pas faire peur de l'autre côté ?
Parce que là, chronologiquement,
tu découvres ça.
Déjà, pour préciser quelque chose,
pour l'instant, tu peux accéder
à l'interface de...
Tu as accès au routeur, des voisins.
Est-ce que pour autant,
en gros, c'est comme si tu étais
à la porte de leur jardin.
Tu peux toquer.
Est-ce que pour autant,
tu pouvais rentrer dedans
et aller te connecter
sur l'imprimante, par exemple.
On prenait l'exemple de l'imprimante.
Alors, on a fait des tests,
mais absolument pas avec des...
C'est là où on fait très attention.
Est-ce que tu fais très attention ?
Tu ne veux pas faire des choses illégales.
Tu ne veux pas accéder
aux informations de n'importe qui.
Tu ne veux surtout pas
avoir d'informations personnelles.
Du coup, je me souviens,
on faisait des tests avec des personnes
que je connaissais, des amis,
qui m'autorisaient...
Mes opérateurs et qui m'envoyaient
un email en motorisant sur le papier.
Je te autorise à regarder cette chose-là.
Ou moi, qui n'avais pas de problème avec eux.
C'est hyper malin. J'avais pas pensé ça.
Je me suis dit, mais comment le pauvre,
comment il va faire ?
Il est sur le point de découvrir
un truc de ouf et il est bloqué par un truc légal.
Et en fait, tu as trouvé un moyen.
D'abord, l'autorisation de tes tests
est de trouver, oui,
il y a des choses à démontrer,
mais du coup, après, c'est un peu théorique
dans le sens où tu vas essayer
chez deux, trois personnes
qui t'ont autorisé,
mais après, tu en déduites...
Je ne peux pas tester chez les millions, oui.
...possible, chez les millions.
Je suis là, mais je suis là.
Mais après aussi, il y a cette notion
qu'à un certain moment,
c'est plus très important
d'aller démontrer que c'est pas possible.
Partout.
Oui, je l'ai apprové trois fois.
C'est bon.
Voilà.
Et que ça soit 10 000 ou 100 000,
c'est important pour l'opérateur.
L'humilité, c'est d'apporter
ce qu'on appelle un proof-of-concept, un POC.
C'est juste le minimum en requis
pour te prouver que ta théorie, elle fonctionne.
C'est-à-dire que si tu arrives ça
sur une entreprise qui est réceptive,
genre de contact,
mais si tu arrives avec juste ça,
souvent que tu arrives à leur prouver,
bah là, je peux accéder
à un PC arbitraire,
qui est dans votre réseau.
Ça suffit pour prouver que tu as accédé
à tous les PC.
C'est comme en maths, tu prouve une fois
et tu prouve pour tout,
tu vas pas t'amuser à...
Et surtout,
tu n'as pas besoin
de d'exploiter
ce problème.
Tu as besoin de démontrer qu'il existe.
Non, mais ce que je veux dire, c'est que...
Quand tu démontes, tu seras exploité.
Tout à fait.
C'est super.
C'est super.
Mais ce que je veux dire, c'est que, par exemple,
si...
tu te rends compte qu'il y a
de l'argent
dans un truc que tu viens de découvrir,
tu n'as pas besoin de montrer
que tu es capable de la récupérer,
juste en gros, que le bug existe
et qu'il est exploitable.
Mais en fait, je comprends.
En fait, c'est que les bugs
par exemple dans le point de banque,
ça va pas être
j'arrive à voler de l'argent,
c'est que j'arrive à voler
ton token d'identification.
Si je viens de voler de 26,
je leur disais,
je n'arrive à récupérer cet token-là.
Oui, c'est la même chose que le argent.
Je comprends que c'est voler de l'argent
sans que j'ai besoin de le faire.
Oui, d'accord.
Ça va plus être comme ça, en fait.
Ok.
Je retire ce que j'ai dit, du coup.
Alors, j'ai une expérience un peu différente.
Je pense que c'est la...
C'est général,
et moi, je suis souvent dans des situations
où tu ne peux pas bien le faire de temps en temps.
Tu aimerais démontrer d'une certaine manière
et aussi la réalité,
c'est de temps en temps,
tu es un peu dans le vif de l'action
et essayais de trouver l'exemple parfait
sans exploiter
et de temps en temps,
moi ce que je fais,
en remontant des failles à des banques
et à différentes situations financières,
tu fais en sorte que
t'impacte ton compte.
Donc, tu vas montrer que le jeu
n'est pas censé être possible,
mais que tu as ton compte.
Par exemple, s'il y a un vol d'argent
ou on va parler d'autres choses,
après d'ailleurs, ça me rappelle
ce dont tu voulais parler,
mais si il y a un vol d'argent,
tu te voles toi-même, quoi.
Tu essaies de te voler toi-même
ou que les damage,
ou l'impact sur l'entité
que tu en bêtes,
soient absolument minimum.
Par exemple, tu vas voler
3 fois un centimètre et tu vas montrer...
Ok, je comprends.
Du coup, par contre,
je t'ai coupé sur l'histoire de D-Box.
Mais au moment où tu découvres
le pote aux roses,
tu découvres que concrètement,
tu peux...
J'aime bien mon analogie.
Parce que tu peux potentiellement
aller dans le jardin de Mélis-Monde français.
Qu'est-ce que tu fais à ce moment-là ?
Tu t'envoies un SMS au patron.
Bonjour, monsieur.
Qu'est-ce qu'on fait à ce moment-là ?
Alors, j'ai un peu de chance d'avoir été
mis dans des situations
où j'avais eu un peu peur dans le passé,
parler avec des avocats ou des personnes
qui diraient...
Ce n'est pas la première fois.
Ne pas faire.
Attention, ne pas faire certaines choses, d'abord.
Et la première chose que je me sens à refaire,
c'est prouver que, directement au moment
où je n'avais que quelque chose de normal,
rentrer en contact par plusieurs moyens,
contrôler que tu as abondamment
cherché à rentrer au contact directement
sans aller faire quoi que ce soit d'autre.
Et de prouver cela,
faire des captures d'écrans,
de tes contacts à plusieurs médiums,
mails, Twitter, appeler l'opérateur et tout ça.
Et voilà, comme ça, tu prouves.
Ce n'est pas que tu as essayé de tout faire.
À partir de là,
commencer à regarder,
voir en fait, et essayer de regarder
cette faille, ça va jusqu'où,
qu'est-ce que tu pourrais faire,
comment est-ce que tu peux naviguer
un peu plus loin dans le réseau
pour aller aux choses.
Et après, ça doit trouver un peu cette limite
de tu commences à tomber dans l'exploitation.
Donc, faire attention,
de ne pas rentrer dans les systèmes.
Mais par contre, ma paix est montrée
qu'il y a beaucoup d'éléments.
Préquenants.
C'est intéressant, l'ordre que tu donnes.
C'est que, d'abord, tu préviens
pour protéger tes arrières.
Et ensuite, tu essaies d'aller un peu plus loin
et voir la criticité
de ce que tu viens de découvrir.
Ça va toujours dépendre de qui on teste,
parce qu'elle est plus loin
sans avoir eu d'autorisation préalable.
Moi, je dirais que quand tu es testant juste,
parce qu'en fait,
quand tu tournes les services interne...
C'est un cas particulier, je pense.
Oui, mais vraiment, tu tournes les services interne.
Moi, ça m'avait eu sur des sites,
je fais des tests.
En parlant de l'ordre d'être là,
je fais une requête en faisant un stage,
j'ai une piste,
et je crash le site complètement.
Et si tu commences à cracher des trucs
comme ça derrière, alors qu'ils t'avaient pas autorisé tout,
ils vont...
Ils seront pas contents.
Même si c'est de la team CQ qui est en face...
Même si c'est de la team CQ en face,
ce qu'il a fait, c'est trop bien,
il nous a contacté proprement,
il a fait ça bien.
Il suffit que tu es quelqu'un de plus haut placé
qui dise, il nous a fait perdre tant d'argent,
on va récupérer notre argent sur son compte en manque.
Tu peux finir en procès,
mais à Grèque, tu es des gars de leur équipe
qui supportent ce que tu es fait.
Bon, ok.
C'est compliqué.
De toute façon, je dirais que chaque situation
demande des précautions différentes, etc.
Après, je pense que le maître Romot,
c'est prendre les précautions,
montrer qu'on a essayé de tout faire de manière positive,
ne jamais cacher, ne jamais menacer,
ne pas faire du renseignage.
Ces exemples de personnes qui vont dire
j'ai trouvé une faille,
mais je te la dis que si jamais
tu me donnes de l'argent,
ou est-ce que tu me donnes de l'argent si je le lis ?
Parce que par défaut, tu remontes ça,
tu crées dans l'opposition directement.
Tu te mets en danger, en fait.
Tu te mets en danger,
mais tu es en train d'imprunter les mots
d'un cyber-criminel, en fait.
C'est ça.
Il y en a qui,
alors eux, ils vont peut-être renseigner différentes choses,
peut-être plutôt des données,
ou des choses comme ça,
mais tu commences à toi-même
de tirer des balles dans le pied, quoi.
Pour le jour où il y a, si jamais,
il y a un tribunal,
et je sais que ça peut arriver.
Il y a aussi la notion de
à quelle vitesse tu vas réporter ton bug,
tu peux retrouver ton bug
et dire je le reporte aujourd'hui,
j'attends une semaine.
Pas mal d'être plus t'attend,
si c'est eux qui vont te voir
avant que le test soit signalé,
vous dire ok, mais pourquoi
vous n'êtes pas signalé jusqu'à avant?
Ouais, d'accord.
Ça vous le prouve.
C'est ouf.
Je connais même des hackers,
par exemple, qui laissent,
dans le navigateur,
il y a ce qu'on appelle le user-agent,
qui dit au site web,
qui vous êtes, enfin,
il dit c'est Google Chrome,
c'est Firefox,
on peut le changer.
Il y en a qui mettent par exemple
leur mail dedans en disant,
j'ai fait les tests,
si jamais vous avez détecté
sa faune,
envoyez-moi un mail et on en parle.
C'est hyper malin.
Donc en fait,
tu laisses une petite trace
pour les logs du service.
Il y aura sur tout le monde,
parce que quand il voit les alertes
qui arrivent de partout chez eux,
ils disent qu'est-ce qui se passe,
c'est-à-dire de leur requête,
ils font, oh, il y a un mail.
Après, il y a un mec qui fait de la recherche.
Après, il n'y a pas essayé,
l'objectif n'est pas de nous détruire.
Au moins, il est rassuré sur l'intention.
Voilà, déjà.
C'est une super idée,
vraiment géniale de rassurer,
de mon avis,
j'essaie pas de me cacher.
Je suis pas rachimé la nuit de soir.
C'est moi,
tu peux me croiser comme tu veux,
il n'y a aucun souci,
on peut en parler et autres.
Ça fait monter,
descendre la pression des deux côtés,
et ça devient plus simple.
Après, tu peux rapidement avoir
une vraie conversation
avec l'équipe de l'autre côté,
où il y a beaucoup de respect,
souvent, parce qu'il y a une notion de...
Ils font le même métier,
en face, souvent,
ils font l'autre facette du métier,
c'est-à-dire, mais c'est le même patient,
donc les gens sont receptifs.
Pardon, je reste sur ton histoire,
parce qu'on veut le fin mot.
Toi, au final, du coup,
ils ont bien pris
ce grand opérateur télécom français,
ils ont corrigé,
comment ça s'est passé ?
C'est là où ça devient un peu haut,
parce que quand on parle de ces enjeux,
du coup, moi, je contacte aussi Lanci,
et le Cossi.
Qu'est-ce que c'est que Lanci ?
Lanci, c'est l'agence nationale
de la Siversité...
Le Siversité des systèmes d'information,
sécurité des enseignements.

Et Lanci, qui est inincident,
et qui travaille aussi avec le Cossi,
qui est, je pense, un département de Lanci,
ou je sais pas,
qui est le centre opérationnel
de la sécurité des systèmes d'information.
Ils en viennent, les acronymes.
Qui sont un peu plus dans le opération
que tu veux remonter une faille
et au directement,
et tu peux le faire.
Pourquoi tu leur parles à ce moment ?
C'est quoi, le...
Alors moi, je fais souvent...
La spécificité.
Je fais toujours très attention
quand je remonte des failles
d'une entité assez grosse
dans n'importe quel pays,
de toujours aller chercher
qui est le régulateur, on va dire,
sur la sécurité dans ce pays-là,
et de les mettre en CC ou en BCC.
Et de faire en sorte que
on n'avait pas d'hier par la suite,
non, tu n'as pas fait ça,
ou non, tu n'as pas essayé
d'envoyer les mêmes informations
des deux côtés.
Parce que...
En gros, vous voyez ça,
directement, ton mail,
qui les prévient en disant,
tout de suite, en contact,
tu mets les autorités de l'État
qui t'occupent de ça,
tu dis, les gars, moi, j'essaie de faire ça bien.
Et je pense qu'en plus qu'à Lanci,
ils auront plus tendance
à essayer de jouer un rôle de médiateur
si ça se passe mal.
Si tu as...
Si on te débit dans la boucle...
Bah justement,
tu fais pas si bien ça, je crois.
Bah parce que...
Oui, justement, en fait,
comme les grands opérateurs,
il y a de grandes entreprises en France
qui sont aussi protégées, on va dire,
à l'État ou qui sont sous.
On peut les oiver.

C'est ça.
Les organismes,
une importance vitale.
Exactement.
Et eux, alors,
ils sont censés être secrets,
ou ils ont pas...
Ils sont pas censés en parler,
mais en fait,
tu peux les deviner rapidement.
C'est ce que tu prends,
les grandes entreprises de logistique,
de communication et autres,
ce qui pourrait impacter le pays.
Si, y avait une gueule,
ou quoi que ce soit,
et si eux tombaient,
comment tu pourrais créer
une crise dans le pays,
c'est eux n'étaient pas secrets.
Et vraiment, qui n'est pas du secret,
mais la CNCF,
ça fait partie de ces oeuvres.
Si la CNCF,
du jour au lendemain,
il n'y a plus rien qui fonctionne,
ça va créer des problèmes énormes
dans tout le pays.
Donc, en gros,
c'est essayer de cadrer
quelles sont les entreprises
les plus critiques, quoi.
D'importance vitale,
c'est ça le terme ?
Oui, c'est ça.
Et du coup,
une fois que tu les as...
tu les as déterminées,
et bien,
tu le rapporte, quoi,
un soutien supplémentaire, en fait.
Alors,
t'as des notions, je crois,
d'audite,
de la part de la CNC,
mais t'as aussi beaucoup d'aides
qui sont apportées,
et de façon aussi
à s'organiser
pour répondre
en cas d'incidence.
Si jamais t'es un jour,
t'avais un gros problème de sécurité,
on disait,
imagine, nation Tiers
venait s'infiltrer
dans tes systèmes,
et on a eu,
c'est-à-dire,
cet incident de TV5
monte il y a quelques années,
il se faisait l'occasion
d'écouter,
je crois, la CNC
a parlé publiquement
par la suite
au STIC,
à la conférence du STIC,
et revenu,
c'était cet incident,
ce qu'ils ne font quasiment
jamais,
en détail,
pendant plus d'une heure,
et c'était comment ils ont répondu.
Qu'est-ce qui s'est passé
à la TV5 Monde ?
Des acteurs internationaux
ou d'autres pays
sont venus taper
à la porte de TV5 Monde,
et ont infiltré leur système,
TV5 Monde,
une grande entreprise de
TV.
Ouais, TV, quoi.
Et ont coupé
toute la diffusion
pour cette chaîne
complètement pour une grande
période de temps,
ce qui est frayant
pour beaucoup de personnes,
savoir jusqu'où
les personnes ont pu aller
et ça a beaucoup plus d'implication,
c'est bien certain que
on est aussi impliqué
dans d'autres pays,
enfin,
dans la télé,
dans d'autres pays.
Et du coup,
la CNC est venue sur place,
alors il s'est passé
pour les mots silencieux,
ou quoi que ce soit,
mais ils envoient leurs équipes.
J'ai trouvé dans le chat
qu'ils se sont fait acquis
par des caméras
qui étaient sur le plateau.
Il y avait,
oui,
il y a certains éléments
qui sont techniques,
alors je crois,
je suis pas sûr que ce soit
la porte d'entrée,
il y avait d'autres portes
d'entrée et tout ça,
mais évidemment,
il y avait aussi,
je pense,
des caméras où le matel
qui est en dessous,
qui s'occupe,
ce genre de routeur
pour caméra
ou des choses comme ça.
J'ai appris beaucoup de mots,
c'est technique à l'époque,
et aussi, la CNC raconte
à quel point ils ont
aussi énormément appris
sur le champ.
Et c'est là
qui est génial dans le milieu
de la sécurité,
c'est pour intervenir
sur plein de sujets
ou de technologies
qui sont différentes
et qui toujours travaillent
tout ça,
t'apprend tout le temps
et t'arrives,
tu connais rien,
et tu es là,
il faut apprendre
et regarder
comment les personnes
ont pu exploiter cela.
Et même pour la CNC
d'arriver,
ils disent,
comment ça marche,
une télé,
comment...
Et en fait,
ils se font des formations
ultra cours durées
parce que les mecs,
ils doivent commencer
à répondre directement.
Et voilà,
donc la CNC,
quand elle travaille
avec ses OIVs,
j'imagine encore,
il y a des choses
qui sont documentées
dans des textes de loi
à ce niveau-là,
fait en sorte que ces OIVs
leur donnent une cartographie
de leur réseau,
maintenir il lui-même un jour,
comme ça,
si jamais la CNC doit intervenir,
que ça va directement où aller,
ou puisse comprendre
les différents systèmes
quand ils marchent,
mais aussi pour les aider
et les forcer
à avoir certaines politiques
de sécurité en place
et autres.
Et du coup,
je me dis,
honnêtement,
j'essaie de mettre à la place
de quelqu'un
qui nous écoute parler,
peut-être qu'on peut avoir
l'impression
qu'au limite,
vous êtes parano,
en fait,
à vous protéger vos arrières,
à réfléchir au temps,
à l'égal, etc.
et qu'au fond,
vous voulez que le bien des entreprises
vous les aidez
à avoir une meilleure sécurité,
à corriger leurs failles.
Pourquoi est-ce que vous êtes...
Pourquoi est-ce que vous faites
autant attention ?
En fait, on ne fait pas
autant attention
parce que...
enfin, du moins pour moi,
c'est parce que je vais rarement
chercher sur des sites où
j'ai pas le droit
dès le départ.
Donc déjà,
ça t'enlève toute cette sœur
angoisse-là.
Donc, tu dis que là,
j'étais autorisé,
ceux qui m'ont soigné
me chercher
pour me demander des pénards.
C'est aussi une autre solution.
C'est effectivement le...
Du coup,
tu es en train de parler
plutôt de Bug Boon Tee.
Ouais, de Bug Boon Tee,
mais même après,
il y en a où,
sans parler de Bug Boon Tee,
il y a des sites...
je sais pas si...
pour les développeurs web,
ils connaissent peut-être
le human.xt,
qui va dire
aux autres,
aux autres recherches,
vous allez le fouiller ça,
pas ça, etc.
C'est par l'extrême.
Security.xt.
Il y a le security.xt.
Il fait la même chose,
il y a pas mal de sites qui le long.
Pas assez.
En gros, c'est un petit fichier,
ou il y a quelque quoi de...
le contact,
c'est le minimum,
je crois que c'est un mail,
ou un truc comme ça.
Et l'idée de dire,
c'est si vous trouvez un bug,
nous, on est open
à ce genre de choses,
contactez-nous,
c'est là le contact.
Et d'appartement,
il y a ça,

tu peux te permettre de dire,
je vais tomber sur un interlocuteur
qui va comprendre
ce que je vais vouloir lui dire.
Ça traht sur,
en tant que...
Ouais,
je me nierai en face...
Que à coeur.
Ouais,
tout simplement.
C'est clair.
Parce que,
ce que je trouve intéressant,
c'était d'expliquer aussi
que toutes les entreprises
ne le prennent pas comme ça.
Toutes les entreprises
ne le prennent pas bien.
J'aurais pas été serein
avec ton histoire d'opérateur.
Oui, j'ai eu très peur,
au même moment,
parler d'un point de vue
légal à d'autres personnes.
C'est paradoxal,
parce que tu viens de trouver
un truc de ouf,
et tu probablement,
tu vas aider
à corriger un bug
qui aurait pu être fatal
pour énormément de Français.
Mais,
au moment où tu le découvres,
t'as ce côté,
là,
je mets le doigt
sur un truc chaud.
Moi,
il y a quand même
une petite partie
qui me réconfortait aussi,
au moment où ça s'est passé,
c'est qu'il y avait cette notion
que toutes les machines
qu'on avait accès
étaient sur mon réseau local.
C'était sur deux.
Donc, ils avaient un peu
fait merder l'Internet.
Ils avaient pas compris comment...
Non, c'est pas ça.
Mais c'était un peu le réseau,
c'était un peu dans ta maison.
J'allais pas en dehors de mourir.
Après, c'est eux
qui sont ouverts chez moi.
C'est un peu ça.
J'allais pas sur Internet.
Et c'est normal.
T'es accès
aux choses sur ton réseau local.
Et j'avais d'autres machines, moi,
sur mon réseau local,
qui étaient des IPs
qui étaient à peu près similaires.
Et du coup,
t'as des baguettes et tout ça.
Donc, c'était un peu un des QQAs.
Du coup, c'était un côté un peu rassurant.
Mais est-ce que...
Un petit peu rassurant.
Mais est-ce que vous avez des...
Vous vous souvenez d'exemples
de choses comme ça,
où des entreprises étaient peut-être
moins accueillantes
à ce genre d'informations ?
Est-ce que...
Est-ce que ça se passe
à chaque fois bien,
où en fait,
la boîte te dit pas merci
pour le bug ?
C'est très gentil.
À bientôt.
Est-ce que parfois, c'est différent ?
J'ai pas l'incoctéactement,
mais l'histoire un peu d'Hollywood,
tu finis en prison
à cause du hacking.
Et ensuite,
l'État vient de chercher
et te propose de travailler pour eux.
Sauf que si ils viennent te chercher
en prison, ils vont pas te faire travailler
pour descendre des mille ans.
Et en plus,
ça n'arrive pas parce que...
Ils ont tout intérêt
à avoir des personnes
éthiques dans leurs équipes.
Et si t'as déjà fini en prison,
bon,
à part si c'est pour un cas comme ça,
ou c'était improbable,
ou tu t'es...
C'est toi qui t'es pris...
prendre au piège ?
Mais en fait, oui, t'as...
Tu finis pas en prison,
en ce moment-là.
Mais en fait, t'as plein de boîtes
qui, souvent,
au lieu de remercier,
collent un procès.
Moi, je dis...
Ça m'est arrivé plusieurs fois
et c'est pour ça que je fais attention,
d'avoir...
Alors, moi,
où je fais un petit peu de différence,
c'est que
j'ai m'amus souvent...
On a eu 15 procès.
Non, mais...
12.
Mais...
Je vais reborder...

Je vais reborder...
Je vais reborder...
Je vais reborder...
Je vais reborder...



Je vais reborder...
Je vais reborder...
Je vais reborder...



Je vais reborder...
Je vais reborder...
Je vais reborder...





Je vais reborder...






Je vais reborder...
Je vais Goodbye Understand
puis les gens,
s'en souffrent de toute façon.

On t'app"-
Et,


ᄒᄪᄼᄕᄁᄟᄌ� Trans рын du구�
Oui effectivement c'est assez louche.
Et j'ai quand même vu aussi beaucoup de changements dans la façon où je remonte ces failles.
Je sais qu'à l'époque j'étais très technique directement,
dans la faille là tu fais ça exactement et ça mène à ça et tu peux détruire,
enfin ça c'est un impact.
Et énormément, on changeait mon approche en mettant en tête que la personne qui va sûrement recevoir ces premiers emails
c'est avec une personne qui n'a aucune idée du côté technique et elle la première chose qu'elle a,
elle a peur de...
Est-ce qu'il y a un hacker qui essaye de pénéter dans nos systèmes et qui va aller sur Twitter parler de ça
et l'image de la marque va tomber ? Les personnes ont peur au début.
Donc si jamais tu enlèves directement, tu mets beaucoup de contexte,
de belles phrases qui expliquent ce qui s'est passé exactement, tu ne parles pas de...
Je suis un hacker, curcur curcur, je me souviens que vous aimez.
Si tu n'as pas déjà un mail security à la boîte et que c'est juste contact,
pour ce que tu fais c'est t'expliquer avec le bug.
Est-ce que vous avez quelqu'un de la sécurité et que je peux échanger ?
Ah ouais.
Pour pas freak out, c'est plus simple.
La com, ok.
Et c'est vide de parler d'encri, tu ne vas pas utiliser de l'encrivition que j'ai fait.
Tu ne parles pas de trucs trop...
Et tu sais pas de faire toutes les choses,
oui mais la sécurité on fait ça comme ça et autre,
ou c'est écrit... Non, tu dis bah...
Pourquoi Banque Populaire est la première banque des entreprises ?
Je me posais des questions sur le partage de la valeur pour mes salariés.
Elodie, ma conseillère Banque Populaire, m'a proposé une solution d'épargne salariale sur mesure,
rapide à mettre en place et que je peux piloter en ligne.
C'était simple et surtout ça a fait des heureux.
Accompagner nos clients sur tous les territoires avec des solutions adaptées à leurs besoins,
c'est ça, être la première banque des entreprises,
Banque Populaire, la réussite est en voulue.
Étude Quantar PMEP et Mi-2023, 14 banque populaires, 1re banque des PM.
T'explices plus le contexte.
Il faut pas abîmer les gos non plus, c'est important.
Ouais, t'as fait.
Parce que, allez chez des boîtes, à leur dire, vous avez fait ça mal,
c'est moins bien reçu que j'ai trouvé une subtilité.
Vous remarquez que du coup,
vous devrez adopter un ton qui est plus didactique pour que ce soit bien reçu,
mais vous y...
Est-ce que surtout c'est Vincent avec qui j'avais discuté ça,
mais la façon dont toi tu approches le truc,
fait que tu vas être plus ou moins bien accueilli en gros.
T'es une énorme notion d'éducation.
On a l'impression de faire un taf que tu n'es pas censé faire.

T'es un acteur psychologue.
Mais il y a énormément de psychologie dans tout le domaine.
Mais tu vois à quel point c'est des personnes,
en retour, tous vos bras, mais...
Mais j'ai des personnes par la suite,
qui apprévent une touquée à la pote.
D'ailleurs, j'ai ce problème aussi.
Mais ça, je suis censé le sécuriser comment.
Et les personnes, une fois qu'elles ont confiance,
elles ont un peu trop de confiance de temps en temps.
Donc, tu dis gentiment, je prends pas la responsabilité de cela.
D'accord.
Travailler avec une entreprise pour la façon de choses.
Mais par contre, tu peux aussi,
c'est à ce moment, tu peux ouvrir le message de...
Bah, ce serait peut-être pas mal que vous mettiez sur votre site
quelque chose qui dise comment remonter des failles de sécurité
ou se sécuriser de te essayer ou des choses comme ça.
Ou dans votre console, tu es toujours disant,
ah, si vous voulez parler aux équipes de sécurité,
pour être un peu ouvert, parce que...
Disons qu'il y a des personnes aussi qui sont,
vous dire, Greyhawk ou Blackhawk.
Et je vous assure qu'il y a des personnes qui, de temps en temps,
sont pas les mecs, ou les filles qui sont très clignes
d'un point de vue de sécurité.
Et si ils voient que la boîte en question
est très ouverte à la sécurité et autres,
et bah, de temps en temps, ils vont prendre le penchant
de remonter la faille,
parce que peut-être qu'ils vont avoir un bounty ou autre.
On est sur notre service de remonter de bugs anonymes.
En fait, on en a énormément des bugs,
et la plupart des gens qui remontent,
ils s'attendent pas à recevoir de récompenses.
C'est vraiment de bénévolement,
j'ai trouvé quelque chose.
Je pense que ça serait mieux d'être corrigé,
parce que c'est un service que j'utilise,
que j'apprécie et que je ne voudrais pas que ça soit là.
Je pense que ça, on va dire justement, on a envie.
C'est assez meilleur quand même.
Tout ça, dans tous les reports que t'as fait Vincent,
t'as changé de...
T'as eu des moments où t'as compris des choses,
t'as changé de technique d'approche.
Ah oui.
Oui.
Qu'est-ce que je me dis ?
Ça fait quand même de plusieurs années,
je ne sais pas combien de temps ça fait que tu fais de la CQ.
Ça doit faire 10, 12 ans.
Ah oui, OK.
Bah, avec toutes vos aléées d'expérience,
est-ce que vous avez un point de vue purement personnel,
tu vois, est-ce que ça vous a appris des choses
sur le rapport aux gens, etc.
Tu me parlais Vincent de peut-être même sur l'humidité et tout.
Est-ce que t'as appris des choses grâce au hacking ?
Je ne sais pas comment toi t'es rentré dans la sécurité,
mais moi je sais qu'au début, j'étais...
Je pense souvent à un certain niveau dégo et d'orgueil.
Mais non, j'étais beaucoup dans l'opposition du sens
où vous faites les choses mal, c'est si simple de pénétrer
dans vos systèmes, en ce genre de choses,
et tu essaies d'appaiser un peu.
Et j'étais très ironique dans ma mémoire d'hésoir
et des personnes de l'autre côté qui se posaient des questions.
Et tu es un peu sournois dans la façon...
Je suis sur mon rodeau.
Enfin, en vrai, j'ai lu certains emails de...
En fait, c'est facile de devenir rodeau quand t'es chez toi en pyjama,
posé dans ton lit avec ton PC,
avec ton train d'accueil, une banque.
C'est ça.
En envie de moquer un peu.
Tu as une sensation de toute puissance de dire
que tu es dans ton cadapes avec une coète
et que tu fais tomber une société qui fait des millions.
Ouais.
Est-ce que ça ne vient pas aussi de la pop culture,
mais de ce côté-là ?
Ce côté Mister Robot, parce que c'est ça qui fait Mister Robot.
C'est hyper récent, ça, au final.
Ouais, c'est vrai.
Et du coup, comment t'as changé là-dessus ?
Parce que la conclusion, tu ne vas pas nous dire
oui, je fais tout pareil.
J'ai tout volé, j'ai tout cargent.
Voilà, tout ce qui...
C'est une part, c'est fatiguant,
parce que de l'autre côté,
tu ne vas pas être accueillé à un bras ouvert.
Ah, on est nuls.
Ah, merci.
Vincent, dis-moi comment je peux être meilleur.
Dis-moi, rends-moi.
C'est un nouveau dieu.
Oui, c'est ça.
Non, la plupart des personnes,
je me suis rendu compte qu'il y avait beaucoup de personnes à l'époque
qui repondent dès qu'ils étaient très tolérants,
qu'il y avait beaucoup de patience.
En disant, ce petit con,
en vraiment se foutant de la question,
et un énorme respect pour la plupart des RSS-6 d'entreprises
qui doivent aussi travailler avec des personnes
de temps en temps, peu importe,
qui sont très jeunes ou qui sont un peu emblérables, on va dire,
remonder choses et autres,
et essayer d'accepter et d'être dans le respect des deux côtés.
Mais au fur et à mesure,
tu te rends compte que tu ne vas pas laisser une marque
dans l'entreprise de l'autre côté.
Si jamais tu t'arrives et tu es juste arrogant,
et après, la fin, c'est pourquoi tu fais ça.
Ce qui t'intéresse, c'est vraiment de faire en sorte que ces boîtes
fassent plus de sécurité,
ou qu'elles le prennent plus à coeur et qu'elles s'y intéressent plus.
Et dans l'opposition, ça va pas...
Et la réussite, en fait, c'est à contre-produire.
Il y a une ou deux expériences dans lesquelles,
où c'est l'inverse qui se passe de personnes qui commencent à te proposer.
On t'a envoyé, même pas de l'argent,
mais moi, ce qui m'avait plus touché, c'était une banque en particulier.
Là, on va envoyer un colis avec des mugs, des t-shirts.
Oh, cette revignonne !
Alors, zéquiles.
Et ça, pour moi, ça a le plus de valeur que n'importe quel bug bounty
que j'ai reçu en quantité de l'argent et de l'autre.
Ça a 10 fois plus de valeur.
Et cette...
C'est une revignonne.
Super cool.
Et c'était vraiment...
C'est trop chouette aussi sur les salons,
comme l'Ani du Hague, où tu vas, des fois, avoir les boîtes.
Tu feras, ah, c'est toi qui a importé ce bug-là, et tout, bien joué.
Tu te fais un réseau de pot chez tous les responsables de sécurité.
En vrai, tous les événements, c'est un petit monde, finalement.
Et c'est cool de savoir un peu qui est partout, etc.
Ouais.
La nuit du Hague, on l'avait couvert...
C'est le Hague maintenant, d'ailleurs.
Ah oui, c'est vrai.
Ça a changé de monde.
Mais c'est le Hague.
On l'avait couvert il y a deux ans, je crois.
On a fait une petite vidéo, si ça vous intéresse, de découvrir ce que c'est.
Que cet événement francophone parisien, même.
Oui, ça parie.
Donc voilà, n'y allez pas si vous n'êtes pas déjà un peu ferru de sécurité.
Vous allez vous emmerder.
Mais si ça vous intéresse, que vous êtes peut-être un peu technique,
que vous êtes développeur par exemple, ou que vous faites du réseau, si c'est admis, etc.
Vous pouvez y aller.
Vous n'êtes pas obligé d'être un super mega hardcore triardeur du hacking.
Oh là là, mon Dieu.
Bon, ne pas regarder.
Mais vous pouvez y aller, vous avez des talks hyper intéressants.
Donc n'hésitez pas, vous pouvez voir la vidéo si ça vous intéresse.
Mon cher Bik, tu es dans une team.
Comment elle s'appelle ?
The Flat Network Society.
The Flat Network Society.
Est-ce que tu peux nous expliquer ce que vous y faites ?
Et notamment, j'aimerais bien que tu nous parles d'un événement
à lequel vous avez participé, si je me trompe pas, de Google.
Oui, alors nous, nous, the Flat Network Society.
Donc on a une team, oui, mais une team de quoi ?
Une team de CTF.
CTF, qu'est-ce que c'est ?
Ce sont des concours de hack.
Donc c'est Capture the Flag.
Le but du jeu, c'est que des équipes qui s'affrontent entre elles
pour réussir à un nombre de challenges d'énigmes informatiques, on va dire.
OK.
Et l'équipe qui réussit le plus d'épreuve, il y a le plus de points et remporte le CTF.
OK.
Et donc nous, on fait ça depuis...
CTF, c'est un terme de gaming, en fait.
Oui, je vois.
Capture the Flag.
Moi, je suis pas le plus pro gamer, mais ça me dit quelque chose.
Et donc voilà, c'est la base, ce qu'on appelle les challenges,
les concours Joe Pardy.
Oui.
C'est une liste de questions.
Il y a aussi les concours qui s'appellent Attack Defense,
où là, ça va être chaque équipe
va avoir un serveur pré-configuré avec des services vulnérables.
OK.
Et le but du jeu, c'est d'attaquer les serveurs des autres équipes qui ont les mêmes.
OK.
Pendant que t'attaches, etc., il y a les réattaquer les autres.
OK.
Ça, c'est cool aussi.
Le problème, c'est que tu peux pas mettre ça en ligne avec des centaines de milliers d'équipes
parce que ça va pas tenir bien.
Et que même toutes les finales que j'ai faites...
C'est plus privé, quoi.
Voilà.
Et même quand c'est privé,
il y a des gens qui passent toutes...
Enfin, des journées à s'envoyer des hacks sur la gueule.
Et forcément, c'est dur de maintenir une infrastructure qui te sert bien.
Malheureusement.
En gros, tu fous le feu à tout.
Donc, forcément, c'est pas à foutre le feu,
mais tu peux envoyer trop de requêtes pour que de toute façon,
l'autre en face puisse plus jouer.
Tu peux toujours...
Tu te résoudis, Péter.
Attention à ton micro.
Pardon, je me suis tué.
Est-ce qu'il y a des grandes règles dans ce genre d'événements ?
Je fais très peu de questions de flag,
dans lesquels ils disent,
tu ne peux pas faire cette quantité ou est-ce qu'ils te limitent ?
Alors, en général, c'est...
Alors, pour les trucs où c'est des géopardies en mode question,
il y a une réponse,
là, tu n'as pas le droit de toucher tout ce qui va être les infrastructures
de l'organisation.
D'accord.
Par contre, c'est une épreuve,
il y a une façon de résoudre que tu n'es pas celle qui t'es prévue.
C'est faire game.
Tu as le droit, tu peux y aller.
D'accord.
Et est-ce qu'ils te pénalisent si jamais tu fais la première chose que tu as,
et tu commences à toucher les...
Alors, souvent, ils ne te pénalisent pas,
mais si tu remontes le bug, ils te récompensent.
D'accord.
Soit c'est juste à cette point pour pas que tu
m'ont de place en classement,
mais qu'en cas d'égalité, tu repasses devant.
D'accord, d'accord.
C'est le petit bonus.
Ça veut dire que ça se produit.
Parce que si ça se produit régulièrement...
Si ça a été anticipé, OK.
Mais nous, c'est arrivé sur des CTF.
On arrive, on trouve une épreuve, on la réussit,
donc on arrive à avoir accès à une machine,
c'était prévu.
Vous savez que cette machine n'était pas bien protégée,
on sort cette machine pour aller sur le parc entier,
et là, on avait accès à la réponse de toutes les épreuves d'un coup.
Ah oui, effectivement, c'est un bon inconscient.
Ah ben, c'est...
Et là, il a coup, il aurait reçu une épreuve, tu vois, si tout.
Ouais.
Euh... Alors,
juste sur le terme capture de flag,
je me figure que dans un jeu, c'est un vrai drapeau, par exemple.
Euh... Comment ça se passe dans votre cas ?
Souvent, ça va être une chaîne de caractères,
donc juste un bout de texte, un mot de passe, en fait.
Qui faut récupérer et qui faut donner.
Par exemple, il y a des épreuves qui vont être...
Bon, on a créé ce logiciel,
et pour démarrer, il faut une clé CD.
Il faut trouver une clé CD valide,
et ça sera ça votre flag.
Ok.
Ou un site web, par exemple,
à l'un de plus de la mine, c'est le flag.
Ok.
C'est toujours un chose comme ça,
qui est pas un élément secret,
auquel t'as pas accès,
et il faut trouver des moyens de tourner pour l'avoir chopé, quoi.
Exactement.
Ok.
Alors, du coup, ce Google CTF,
vous y avez participé en équipe ?
Ouais, on a participé du coup avec le TFNS,
de FlaméNator City.
On était 6,
et l'idée, c'est Google.
Alors, c'était au départ,
un calif ouvert à tout le monde par Google,
et ils ont pris les top 20 équipes,
les top 20,
et les top 20, on était invités pour une finale.
Stylés, déjà.
Ou là, déjà, c'était super stylé.
Top 20 monde, en fait,
parce qu'il y a beaucoup de gens qui participent à ça.
Ouais, et là, bah celui-là, il se fait tout celui-là.
Ouais.
Et ce qui était chouette,
c'est qu'en fait, ils se vont développer un jeu en 2D,
exprès pour l'événement.
Ok.
Et en fait, dans le jeu,
toutes les quêtes du jeu,
d'obliger de hacker le jeu pour pouvoir les réussir.
D'accord.
C'est un jeu ingaignable.
Du coup.
Bah si, mais il faut pas...
Oui, c'était pas un hacker.
Voilà.
Il y avait plein de petites choses,
mais par exemple, il y a des enrois où il faut passer,
c'est des sauts pixel perfects.
Ok.
Et t'es un tournaviateur, c'est hyper compliqué.
Donc nous, on a créé un bot qui détecte
qu'il arrive au bord d'un mur,
et qu'il faut qu'il saute.
Ok.
C'est tout bête, mais c'est un faitignant en fou.
Il y avait un bug...
En fait,
quand dans le jeu, on meurt,
on apparaît au point de spawn le plus près.
Comme dans le plupart des jeux, en fait.
Oui.
Et nous, ce qu'on a fait,
c'est qu'on a tracé dans le jeu
toutes les limitations des points de spawn les plus proches.
Ok.
Et quand on voulait aller plus vite dans le jeu,
on pouvait s'en servir pour se téléporter.
Voilà, ces jeux-là.
Donc là, on voit les gris,
c'est les collisions que je fais apparaître,
parce qu'en fait, il y a des endroits
où on se rend rendu compte
que des murs n'avaient pas de collisions,
qu'on peut pas chatre à vers.
Ah oui, d'accord.
Ah, bon.
On a fait un speedac aussi dans le jeu.
Il était pas prévu par Google sur lui-là.
Speedac, c'est-à-dire que là,
c'est un service qui est devenu un peu...
Il faut avoir Ake Google en service.
C'est pas Ake Google à 50 ans ?
Ah, c'est ta vie.
Ah, c'est ta vie.
Oui, j'ai des trois lettriques chez eux.
T'as trouvé quoi ?
Et après, Ake Google, c'est pas...
Ça dépend quoi ?
Ouais, j'ai des...
Bah, il y a rien dans cet F, par exemple.
Je suis allé trop loin.
Je suis sorti de mes épreuves
et je suis sorti d'une EVM.
Ouais.
Il y avait des problèmes de cache aussi chez eux.
Des conneries où j'avais accès à des comptes,
ce qui était pas ce que je devais avoir accès.
Pas mal, comme...
C'est pas mal.
C'est cool, c'est des bonnes choses.
T'as pas trouvé un bug d'affichage ?
T'as trouvé un truc un peu sympa ?
Ce qui soit des trucs...
Ce que le cache, à l'échelle de Google, c'est pas dit.
Non, non, c'est pas...
C'est le continent, là.
Ouais, c'est ça.
Alors, du coup, là, on a les collisions.
On a les collisions.
Le Grand Trainoire, c'est à la limite d'une zone de spawn.
Si je meurs d'un côté ou de l'autre,
je vais pas apparaître du même spawn.
D'accord.
Donc, on voit que je balade, je pose des clés.
C'est où vous déportes.
Du coup, voilà, tout le jeu était basé là-dessus.
Et après, il y a aussi des épreuves un peu à l'extérieur,
beaucoup plus techniques,
qui étaient moins visuelles.
Au départ, Google devait diffuser toutes ces matchs, en fait.
On était filmés et commentés en live.
OK.
Et on attend toujours les vidéos.
On va envoyer un petit message à l'iscorde.
Allez, les gars, les vidéos.
Parce que c'était combien ?
C'était 2019, 2019.
Ouais, c'était avant de Covid.
Ah oui, je crois.
Oui, effectivement, ils se sont dormis.
D'ailleurs, on voit même là sur la vidéo
qu'on a rajouté des cases avec les numéros des grilles.
Parce qu'on était tous chacun chez nous,
parce que non-niqués, on n'est pas tous français.
Ah oui.
Et ils se disent, ils me disent,
ouais, la clé que tu cherches, elle est en haut à droite,
on galère énormément.
Et j'ai fait, attendez, on va rajouter juste des cases.
C'est tout con, mais on a gagné un tonfou.
Juste avec ça, je suis en M8.
Et bien, ouais, je suis en plate-formant Océ.
Tu as un touché.
Voilà.
OK.
Alors, juste pour préciser sur le jeu en lui-même,
là, on voit que c'est un navigateur.
En fait, c'est un jeu web, quoi.
Ouais.
Parce que ça influe sur la façon de hacker aussi.
Alors en fait, c'était un InternetF qui était très, très court.
C'était qu'une heure, et on avait le jeu une heure avant.
D'accord.
Donc une heure avant, on peut commencer à essayer de voir comment il marche.
On avait déjà une première version du jeu
que nous avons envoyé qui n'était pas complète.
Il n'y avait pas la map, il n'y avait pas les portes,
il n'y avait pas plein de choses qu'on ne savait pas qui allaient être là.
On peut déjà se familiariser avec le moteur du jeu
et commencer à créer les outils.
Et dans la dernière heure qu'on avait juste avant,
on pouvait corriger les derniers bugs et tout fonctionne.
Parce que sinon, une heure, c'est vraiment hyper court pour un concours.
En général, on est plus sur du 48 heures.
OK.
C'est quoi là ?
C'est que une heure, c'est vraiment incroyable.
C'est quoi la taille de vos boîtes à outils ?
On va dire, la quantité de petits outils que vous avez
qui ne sont pas propres à chaque CTF,
mais que vous avez construits pour vous affiniter la façon où vous travaillez.
T'as combien de scripts, de vinaigra ou de...
Déjà, j'ai tous les CTF que j'ai fait depuis que j'ai commencé en backup.
Donc j'ai tous mes scripts depuis toujours.
Et dans un temps, je me dis,
« Ah mais j'ai déjà fait un truc comme ça en 2016,
et je vais chercher, je le trouve rarement parce que
je ne peux pas voir tout, je les ai patrillés. »
Mais dans un temps, je le retrouve.
Et c'est marrant d'aller voir à quel point j'ai pu progresser sur
pourquoi j'ai fait ça comme ça à l'époque.
Mais ça marre comme tous les devs.
Après, il y a plein de...
Fierment, il y a plein de...
Moi, je fais beaucoup de pitons quand je fais du CTF.
Et oui, j'ai une libre, je fais un porte bitca,
des fonctions, par exemple, l'opération d'Oxor, qui est hyper courante en CTF.
J'ai besoin de pouvoir la faire partout tout le temps.
Je l'ai tout de suite apporté demain.
Et après, il y a plein d'autres choses,
mais il y a surtout plein d'outils disponibles
fait par les autres équipes qui sont là et qui ont utilisé tous.
Et qui sont finalement téléchanges.
Il n'y a pas de trucs top secrets, en fait, si c'est ça la...
La question.
Non, c'est plutôt la conseil travail que vous mettez avant les CTF
pour préparer tout cet environnement pour que le jour où ça arrive,
vous utilisez ça, ça, ça directement.
C'est-à-dire que c'est moins les outils, mais c'est plus l'expérience.
C'est-à-dire que...
Bah moi, ça doit faire 10 ans que j'en fais le CTF.
Et quand j'arrive sur une épreuve, je me dis tout de suite,
je vais avoir une idée de...
OK, ce qu'ils veulent qu'on fasse, c'est ça,
parce qu'ils ont formulé ça comme ça.
Tout simplement, les épreuves CTF éclenquent qu'il a pris le temps de la développer.
Donc il a créé un faux site web, par exemple, à Ake.
Et je dis, tiens, c'est marrant, il y a un endroit où on peut sauver des messages
dans le site web.
Je me suis dit, le gars, si il a développé ce moulinana,
s'il a développé ça, il n'a pas fait pour rien.
C'est du temps passé.
Et donc je me dis, au général, si c'est développé,
c'est que c'est utile à un moment que quelque part dans l'épreuve.
OK.
Donc l'expérience te parvait aussi de connaître les habitudes
ou les clés de cette expérience-là.
Et puis, il y a des choses que j'ai déjà vues,
parce qu'il y a des idées qui sont...
Des CTF, il y en a toutes les semaines, peut-être deux par semaine.
Donc forcément, des épreuves qui vont se répéter.
Ce qui est bien aussi, c'est pas même au débutant
d'appliquer dans un contexte un peu différent des choses qui savent déjà faire.
Oui, bien sûr.
Et après, il y a le tourne-et-de-truc nouveau aussi,
c'est ça qui fait le charme des CTF.
Les CTF, c'est capture de flag.
On répète pour les gens qui arrivent.
Et par l'an 20, il me disait juste avant,
vous avez fait combien de captures de flag cette année ?
Alors, en 2020, on en a fait 50, je crois en tout.
What the fuck ?
Alors, en 2020, on en avait...
Chaque semaine, là.
Tu me disais là.
Non, même des week-ends, on en a fait 2 en même temps,
pour le même week-end.
On en finissait un et on allait tecair l'autre.
Est-ce qu'il y a un classement
où vous pouvez vous comparer sur l'ensemble de ces épreuves-là ?
Il y a un top mondial qui est autogéré par les équipes.
Je le sais déjà, mais je vais te demander,
vous êtes combien de siècles ?
On voulait faire top 10 sur le 11e.
C'est hyper stylé.
Franch 2021.
11e monde, c'est vraiment la classe.
Ouais, c'est quand même plutôt fier de notre...
Bah, attends.
Après, on est français,
mais on a quand même un polonais avec nous et un coréen.
Ok.
Donc un peu de diversité.
Mais coca-reco quand même.
Du coup, là, sur cette épreuve Google CTF-LA,
ça, tu nous parlais de quelque truc que vous avez trouvé.
Et du coup, vous avez réussi à terminer ?
Alors, nous, on a fini...
Alors, on a fait les calife.
Déjà, on a été repêché au calife.
Donc, on était là, tu me vint et un,
c'est un peu notre spécialité.
Nous on a attrapé parce qu'une équipe
pouvait pas participer pour XOA Creson.
Et une première calife, donc, il y avait...
Ah non, c'était con.
Je sais plus.
Enfin, on a joué quatre équipes contre nous.
Ils prenaient les deux équipes les plus rapides
ou la plus rapide.
Ok.
Et c'était à verrez que c'était nous.
On a été sélectionnés pour la dernière finale
contre les...
Bah là, les trois mires.
Alors, on a fini le quatrième.
Mais avec...
Mais avec les sonores.
Et vraiment content d'être arrivés jusque-là.
Et du coup, en fait,
c'était toujours sur ce jeu-là, en 2D ?
Ouais.
C'était le même jeu.
Ils ont créé une nouvelle map pour la finale
avec des épreuves plus dures
et surtout plus d'épreuves.
Et surtout qu'ils ont pu voir
le tooling qu'on avait fait.
Ouais.
Moi, c'est marrant.
J'ai les rushs des vidéos de Google qui sont commentées.
Et c'est hyper drôle de voir les développeurs chez Google
et se dire
qui hallucinent sur les outils.
Ce qu'on en fait sur un retour
et des vidéos de nos écrans.
Trop bien.
Et du coup, en fait,
ils ont pris leur jeu et voient des...
Ils voient une des équipes de jeunes
qui sont en train de tout de nous casser.
Par exemple,
le speedac n'était pas prévu.
Le fait qu'on puissait aller trop vite.
Et dans la vidéo, ils sont là.
Il y a une pause qui est marquée
parce qu'en plus,
on était plusieurs équipes à l'avoir.
C'est-à-dire qu'on a fait nos recherches séparément
et que tout le monde a trouvé ça.
C'est fascinant.
Et du coup, ils l'ont corrigé pour la finale finale.
On a trouvé une autre technique pour le faire
qu'ils n'avaient pas corrigé.
C'était quand même toujours toujours possible.
Trop stylé.
Bon là, surtout,
moi, je voulais que vous ayez un aperçu
en fait de ce que c'est qu'un capture de flac
parce que c'est vraiment un truc qui est partout
dans la communauté infosec.
C'est vraiment, c'est pas anodin.
Tout le monde passe par là.
Enfin, là.
C'est-à-dire, avant de finir sur Google CTF,
s'il y en a qui s'intéressent vraiment,
sur YouTube, il y a Live Overflow,
qui est un youtubeur de sécurité.
Et il y a une vidéo qui est hyper longue,
elle dure trois heures.
En fait, c'est le live de toute son équipe
avec leur micro et il joue le CTF en live.
On peut revoir tout le Google CTF.
Donc comme ça,
vous pouvez voir un peu de l'intérieur
comment ça peut se passer.
Le CTF, c'est un truc qui est vraiment hyper populaire
dans la communauté de la super sécurité.
Je ne me trompe pas.
Et donc, c'est hyper intéressant.
Surtout, c'est une manière de...
C'est presque un jeu vidéo.
Alors, là, le truc, c'est que c'est très visuel.
C'est pas toujours comme ça quand même.
Là, d'un prix, l'exemple le plus visuel
pour pouvoir vous le montrer
que ce soit un peu sympa la caméra.
Mais honnêtement, c'est rarement aussi visuel que ça.
Mais ça, ça n'en reste pas moins marrant.
C'était français.
Oui, c'est bon.
Donc, essayez-vous au CTF.
Il y en a accessible.
T'as des ressources ou des trucs.
Alors, regardez les CTF qu'on va appeler All The Day.
Oui.
Par exemple, comme les sites comme Route My.
Ils sont des épaules CTF
et qui sont disponibles tout le temps.
Vous pouvez les inscrire et les jouer.
Et après, sinon, il y a le site CTF Time
qui référence tous les CTF.
Et c'est ce que je parlais de tout à l'heure du classement.
C'est sur ce site-là, en fait,
que chaque équipe vont voter pour dire
ben, CTF Life était dur.
On va lui mettre plus de points dans le ratio.
Là, c'est un peu les partis classés.
Voilà, c'est un peu les partis classés.
Mais après, tout le CTF, c'est ouvert à tout le monde.
Donc, on peut jouer.
OK.
La plupart des équipes publient les solutions
quand ils ont trouvé.
En général, en CTF finit,
c'est toujours possible de trouver la solution
de quasiment toutes les épreuves.
OK.
C'est super.
On apprend plein de choses.
Par contre, à l'élire,
uniquement les solutions sont jouées.
On apprend pas grand-chose au final.
C'est casser les dents dessus
et se rendre compte de la difficulté.
Tu retiens beaucoup plus
quand t'as passé 15 minutes à transpirer.
Des fois, CTF, que je n'ai pas fait,
on me dit, ah, cette épreuve était bien.
Donc, je vais voir un peu la solution.
Tu fais, oh, mais c'était facile.
C'était évident.
En fait, non, c'est jamais évident.
Parce que si tu n'étais pas cassé les dents dessus...
Tu ne te rends pas compte, oui.
C'est comme...
N'importe quel cours à l'école,
prendre des cours de physique et tout ça,
c'est des cours que tu apprends en collège, de trucs.
Et c'est des gars,
si on découvre ça à la fin de leur carrière,
c'était hyper poussé.
Mais une fois que c'est compris et maîtrisé,
c'est plus facile.
C'est comme quand tu regardes quelqu'un.
En fait, quand tu regardes quelqu'un joué,
par exemple, à un jeu,
tu as toujours l'impression qu'il est achimé.
C'est parce que tu n'as pas les mains dedans.
Tu n'as pas dans les mains de la campagne.
Tu ne sais pas à quel point c'est galère.
Donc, les CTF, c'est un bon exercice.
Comment on peut faire,
sinon si tout ce dont on a parlé,
ça intéresse peut-être des gens,
qui sont peut-être...
Je pense qu'il faut être déjà un peu technique, quand même.
On ne commence pas à la sécurité
en se levant un matin, tu vois.
Je conseille qu'il faut d'abord apprendre à programmer,
avant de se lancer.
Il y en a qui arrivent sans.
En fait, c'est parce qu'ils apprennent en même temps.
On peut apprendre en même temps, c'est pas un problème.
Je pense que c'est intéressant d'abord de comprendre
comment les choses fonctionnent,
avant d'essayer de voir des déroutés,
de fonctionnement de départ.
Tu ne sais déjà pas comment ça fonctionne.
Tu ne vas pas aller loin.
Nous, ça nous arrive de voir des gens qui nous rapportent des bugs.
Il y a un bug et tu fais,
non, ça c'est un fonctionnement normal de l'application.
Ce n'est pas un bug, c'est une feature.
Et cette fois, c'est pas une blague.
C'est le fonctionnement normal.
Donc, apprendre à coder,
on apprend quoi comme langage, par exemple,
pour commencer.
Ce que vous préférez.
Non, après, on pourrait s'orienter sur des langages un peu plus web.
On va dire parce que c'est souvent par l'accent,
comment ça se passe.
Il y a beaucoup de documentation, surtout,
par exemple, tout ce qui va être JavaScript, PHP,
de langage populaire.
Ça sert à rien d'aller trouver un truc de super expert.
Assembler ?
Il y a d'autres.
On en fait énormément en CDF d'assembleurs,
mais il n'y a pas besoin d'apprendre l'assembleur pour s'en c'est.
Si ça vous plaît, vous en ferez plus tard,
mais ça va venir naturellement.
Je pense qu'il ne faut pas dire à quelqu'un,
comment c'est par l'assemblure, tu vas voir, tu vas kiffer.
L'assembleur, c'est le langage peut-être le plus bas niveau qui existe.
On dit que le réaliteur, il lise des 1 et des 0,
en fait, il ne t'a fait ça, il lise plus des nombres entre 0 et 256.
Mais du coup, ça a fini.
Qui sont des instructions ?
Voilà, ça a fini de l'assemblure.
Et c'est vraiment, on peut lire ce que lit la machine.
Donc pour faire des opérations très courtes,
il faut lire beaucoup de lignes.
Ce qui s'éloigne le plus du langage humain.
Donc, il faut se lever tôt pour...
Moi, je reste très loin de ce sourcellerie-là.
En fait, c'est typiquement le truc où je trouve ça fascinant.
Tu vois, les mecs en CTF,
il faut un truc comme ça qui lise le truc.
Il faut... Ouais, ouais, bah je sais exactement ce qui se passe.
Moi, je voulais aussi...
J'ai une approche vraiment différente.
Et moi, je sais que je ne serai pas tombé dans la sécurité
si j'avais été forcé de comprendre comment fonctionnaient les choses que je trouvais.
Et j'ai toujours été la personne qui...
Je trouvais ça pas intéressant.
Ce qui est-même, je ne commençais pas à par casser,
vous faire marquer la chose sans comprendre.
Et après, ok, c'est intéressant.
Maintenant, je vais comprendre comment aller plus loin,
donc je suis forcé d'aller apprendre.
D'accord.
Et moi, il fallait une petite carotte ludique.
Exact.
Et bien, moi, sans cette carotte,
je ne vais pas très loin dans beaucoup, beaucoup de domaines.
Et pour moi, la sécurité, c'est exactement la même chose.
Et il y a une quantité de choses sur lesquelles...
Enfin, je pense que c'est aussi très important pour les personnes de s'amuser avec la sécurité.
Et c'est là où le capsaiseur de la fête a tout à fait raison, enfin...
De même avec tout, en fait.
C'est à part un moment où tu vas prendre quelque chose
si ça te pèse de l'apprendre,
si tu ne vas rien apprendre, en fait.
Et si jamais, ça vous amuse aussi de regarder les tutos
et d'aller à la toute fin, de copier coller le code,
de cloner le code et de l'exécuter et ça marche.
Et si vous avez besoin de ça, mais faites-le et n'attendez pas à apprendre.
Et mais regardez toute fin.
Il y a beaucoup de personnes en rugby qui ont une souçon des questions.
Comment je pour rentrer dans le domaine de la cyber sécurité ?
Comment je peux faire ça ?
Vous n'avez pas besoin de beaucoup de choses.
Allez regarder des forums, des outils.
Et vous n'avez pas besoin d'apprendre le langage pour commencer à trifouiller les autres.
Mais une fois que vous avez commencé à trifouiller, oui.
Vous avez de voir face des forts invas.
C'est plus pour devenir bon, en fait.

Ce n'est pas intéressant pour devenir bon.
Vous pouvez aller direct.
Mais c'est la voie.
Ouais, alors.
Enfin, si vous avez l'occasion d'apprendre ce langage.
C'est venu un peu comme ça, en fait.
C'est en commençant à coder tout ça sur les sites.
Ils disent des tutos, ils disent,
« Bronte, ne faites pas ça, vous allez vous faire hacker. »
Ils te laissent comme ça en plan.
Ils disent, « Mais moi, je vais en savoir plus. »
Ils disent, « Moi, ce qui va se passer, comment ? »
Pourquoi ?
C'est un peu ça qui m'a dit.
Mais au final, même ça va dans les deux sens, ça se répond.
Parce que, à quand des services,
j'ai oublié de vraiment le comprendre pour aller jusqu'au bout.
Et du coup, après, ça va améliorer la façon dont je code aussi.
Parce que j'ai une meilleure connaissance de comment prendre.
Un bon hacker et un bon développeur.
Ça aide, en fait, dans les deux sens.
Et tu dois avoir une belle compréhension de l'architecture de ce que tu construis.
On voit énormément avec les chaînes 26,
on a différentes équipes qui travaillent sur l'infrastructure,
sur le produit et autres.
Et nos équipes sécurité et produit, on va dire,
travaillent directement avec les ingénieurs
et sont un peu des consultants avec eux.
Et c'est des excellents ingénieurs informatiques.
Parce qu'ils ont un besoin, déjà, d'être parlé de même langage,
et de comprendre ce que l'équipe en face essaye de construire.
Parce qu'ils ne sont pas là pour leur dire,
« Tu dois faire les choses comme ça. »
Et c'est aussi d'appliquer quoi.
Lorsqu'on sait que c'est peut-être pas la meilleure façon d'approcher ce domaine-là.
Et aussi de faire en sorte que eux trouvent la meilleure solution.
Parce que tu as des experts de l'autre côté qui savent ce qu'ils veulent faire.
Et ces personnes-là, si tu leur dis « ça peut se passer »,
eux, ils vont dire « c'est simple, on peut le corriger de cette façon-là ».
Ils vont trouver la meilleure façon d'implémenter la sécurité.
Et du coup, après, ils vont aussi t'adorer.
Parce que la sécurité, ça ne bloque pas.
Et les entreprises, lorsque la sécurité, ça ne bloque pas, ils sont très très contents.
C'est un fait de ce que je comprends.
C'est ce qu'il y a au cœur d'une sécurité réussie.
C'est ce bon dialogue-là entre les gens qui ont le chapeau plus sécurité
et les gens qui ont le chapeau vraiment développement produit.
Je sens toujours un peu une contrainte à des moments.
Parce que si tu fais tout ce que tu veux quand tu veux,
c'est l'idéal, c'est le plus simple, c'est tout est bien.
Mais tu vas finir par tirer une balle dans le pied.
Et avec la sécurité, on est là pour essayer d'y dire « attention, ça peut être pas de faire comme ça,
mais on ne veut pas non plus être les flics à bloquer.
L'idée, c'est de travailler ensemble et de trouver comment on peut améliorer la sécurité.
Sans que ça soit une vraie nuisance.
Et le truc, c'est que de toute façon, ça ne sera jamais 100% sécurisé.
Ce n'est pas possible parce qu'on écrit du code « c'est des humains, on fait tous des erreurs ».
Ah oui, pourtant, il y a plein d'entreprises qui disent qu'ils sont « un à câble ».
Parce qu'ils ne sont juste pas au courant.
C'est quoi le nombre d'entreprises ?
Je ne sais pas, il y en a un pas qui est hier.
Mais d'ailleurs, c'est toujours hyper marrant de voir ce qui se passe ensuite.
Les wallets de crypto, il y en avait un qui avait annoncé qu'on est « un à câble ».
Il y a un mec qui arrive et il dit « regardez, j'ai Doom sur mon lieu de tout le tout ».
Ils ont fait « non, mais en fait, non ».
On a un câble sauf pour mettre Doom.
C'est toujours marrant de voir ça sur Twitter.
La communauté Infosec, peut-être qu'il y a des égaux, mais il manque pas d'humour.
Je pense qu'il y a une question que j'ai vu passer plusieurs fois.
C'est une question qui peut intéresser quand on est dans le milieu,
qu'on est un corps étudiant, qu'on hésite entre les différents devoirs à prendre.
C'est la question de simplement de « est-ce qu'il y a de la place ? »
Est-ce que c'est un milieu qui est embauche ?
Est-ce que c'est un milieu qui gagne ?
Est-ce qu'il y a des bons salaires ?
Est-ce que c'est marrant ?
Vous avez la réponse à mes questions ?
Je dis « oui, oui, non ».
Non, c'est un embauche, oui, c'est un embauche énormément.
Je pense qu'il y a une même pénurie.
Il y a plein de boîtes qui ont trouvé des vies experts dans ce milieu-là.
Après, il n'y a pas beaucoup de formation, c'est un peu le problème.
C'est encore trop récent.
Moi, je n'ai pas de formation en CQ et je m'élimine que toi non plus.
Il fait des études d'économie.
Voilà.
Mais parce qu'il y a…
C'est fou quand même.
Parce qu'on pouvait…
Il y en avait pas, c'est bon.
Et c'était quoi les autres questions ?
Du coup, est-ce qu'il y a de la demande « oui » ?
Est-ce que ça paie bien ?
Ça paie bien.
Après, ça va dépendre ce que tu vas faire.
Mais ça sent souvent des postes d'ingénieur.
Je dirais que oui, ça paie bien.
En plus, c'est corréler à la première question
Logiquement, ça veut dire qu'en vrai, ça paie bien.
Et juste sur l'empargne de salaires,
mais il y a des gens qui vivent seulement de bug bounty.
Oui, il y en a qui en vivent très bien.
Je dirais pas que c'est la Isimony Get Rich Quick.
Parce qu'en fait, ça va dépendre de tes performances
que tu vas arriver à faire comme argent.
C'est un peu la même différence qu'un salarié et un freelance.
C'est complètement ça.
C'est du freelance total.
Et tu peux te casser les dents sur un site
et trouver aucun bug pendant trois mois.
Oui, ça va être une loterie un peu.

Tu peux te payer beaucoup pour un bug,
mais il faut savoir que dans ces bugs-là,
quand ils te payent par exemple 10 000 euros pour un bug,
ils te payent aussi pour les 10 bugs que tu n'as pas trouvé.
Et c'est la...
Ils payent pour ton temps, en fait.
On voit souvent passer des gros montants.
Parce que les petits, on ne les voit pas passer.
Voilà, les petits, on en entend pas parler.
Mais quand même, c'est intéressant de voir le prix d'une faille.
J'ai mis des petits exemples à la rigerie.
J'ai donné des exemples de gars concrègues
qui va monter des petits montants.
On va essayer de l'envoyer.
On va plus aller dans les milles canaux.
Ma question, c'est...
C'est quoi le prix d'une faille pour une très grosse entreprise?
Très critique.
En gros, c'est quoi le top quand t'es hacker indépendant?
Alors, il y a très grosse entreprise,
où est-ce qu'on parle de Twitter, Google, Facebook?
Où est-ce qu'on les exclut dans les très grosses entreprises?
Oui, non, justement.
Google paye jusqu'à 31 000 dollars.
Donc, 1 000, 3300, 7 000 pour les vrais spectacles.
Et après, ils ont redonné un bonus récemment.
Là, leur top hacker de l'année,
ils lui ont filé 100 000 de plus en mode Allé-Cado TTV.
Ok.
Mais je crois que ça, c'est pour tout leur service.
Mais il paye aussi maintenant pour les...
Par exemple, pour Android et pour Chromium,
je crois, ça montre jusqu'à 1 million pour une faille sur...
C'est pas eux qui les donnent 1 million, non?
C'est pas d'autres boîtes qui les achètent pour des états?
Non, c'est pas 0, dieu.
Non, non, il y a aussi sur la partie hardware
et les choses où on attaque sur le service d'exploitation Android ou Chromium,
sur le KSSD.
Ils sont très, très complexes et ils font très, très attrints sur...
Et qui sont à énormément d'endroits,
donc ils peuvent avoir des conséquences catastrophiques.
Exactement.
Et donc là, ils donnent de plus d'argent.
Et oui, des montants qui sont assez faramineux
et qui sont très rarement récompensés, c'est 1 million ou quoi que soit.
Mais c'est vrai que pour tout ce qui est WAV,
c'est plutôt dans le dispo, au max, 30 000.
Souvent, ils ont une grille de reward, ils disent,
bah, nous, on paye 31 000 par option max.
Mais après, tu pars des bonus.
Et des fois, les bonus, ils peuvent être énormes.
Moi, j'ai déjà eu un bug, pas assez de montants,
mais moi, j'avais trouvé un bug, ils me disaient,
bah, votre bug, on vous le paye 4000 euros
et on vous met 6 000 de bonus parce que...
C'était stylé.
Ah ouais, le petit bug Asimil, il passe bien quand même.
Ça fait toujours plaisir, ça fait des bonus.
Oh, ça régale.
On utilise beaucoup les bonus sur les choses
et c'est comme ça qu'on fidélise.
Oui, c'est ça en fait.
Et le nombre, enfin, on donne des bonus pour...
Moi, je le fais dans l'autre sens en plus.
Moi, je le fais dans l'autre sens, j'envoie des petits bugs.
Si ça se passe bien, on va voir comment ça bosse.
Je peux cacher le temps et je vais chercher.
Non, c'est des techniques aussi.
On a ce, nous.
Vous allez bien vous entendre, je pense.
Ils vont trouver un type de bug et ils savent
ce que c'est la route cause.
Et ils ne vont pas te remonter la cause maire du bug.
Ils vont te remonter plusieurs éléments
en espérant que toi, tu ne vas pas te rendre compte
qu'il y a une route cause, comme ça,
ils vont de plus en plus en remontant plein de dédélection.
Jusqu'au moment que tu la trouves la route cause.
Il y avait un exemple avec une grosse boîte,
je crois que c'était Shopify, un moment qui...
Ce sont des équipes de sécurité qui sont hallucinantes.
Mais qui était sur la façon de sortir...
Je vais essayer le e-commerce pour tous.
C'est le WordPress du e-commerce.
Exactement. C'est l'évolution de PrestaShop,
un niveau un peu plus grand.
Vraiment, le client, c'est monsieur tout le monde
qui veut créer son cible de vente.
Et je crois que Tobi, qui est le fondeur,
va dire, c'est comment est-ce qu'on peut
encourager une personne qui veut monter sans commerce en 2 minutes,
c'est la son idée directement.
Forcément, quand t'es le e-commerce des e-commerce,
tu gères beaucoup d'argent.
Beaucoup de flux d'argent.
Ils font des flux, ils avaient des chiffres
pendant le dernier Black Friday,
et c'était des quantités de milliards
qui traversaient dans la même journée.
Ils sont très importants, mais ils ont beaucoup de produits différents.
Et il y avait une série, un moment,
quand on regarde sur HackerOne,
ce programme et ce qu'ils avaient récompensé.
Il y a un type de bug qui est très critique,
où il paye dans les 20 000 quelque chose.
Il y a une période, où il y a une quarantaine de report,
et c'est 20 000, 20 000, 20 000, 20 000, 20 000.
Et c'est tout que la même déclinaison
du même type de bug.
Et à la fin, ils ont fait, on a
protégé tout le contour, comme ça, c'est plus possible que
tout le monde.
Ils ont avait marre de se faire ruiner.
Oui, parce qu'à l'heure explique, ce dont
tu parles avant, c'est que
parfois, tu peux avoir un enchaînement de
problèmes.
Souvent, ça en plus.
Et du coup, ce que faisaient les gens,
c'est qu'ils te donnaient simplement un peu les conséquences,
la couche, la surface,
et en réalité, ils remontaient
petit à petit, ils te donnaient ce qu'était
le...
Normalement, ça marche quand c'est des
petites boîtes, parce qu'ils sont...
leurs équipes psychologiques, ils ne s'en rendent pas compte.
Nous, on espère
de pouvoir trouver rapidement,
et on a aussi des cas.
Quand tu as une entreprise, et d'autre côté,
tu as du renseignage, les personnes viennent
et disent, je trouvais une faille,
je suis capable de faire ça,
et je veux... je sais pas, un énorme
montant.
Sinon, je vais l'exploiter ou vendre
quoi que ce soit.
C'est génial, quand tu prends ça, tu en as un challenge de ton côté.
Et nous, on met toutes nos équipes sécu de directement,
et on fait, bah... game on !
Où est-ce que tu vas la vendre ?
Sur quel marché de black market
de black cat tu maîtrises ?
Surtout que c'est très excellent de
notre côté, et quand tu te rends compte que
c'est pas les menaces en mode, t'en entends, il y avait des choses.
Eux, ça ne savent pas vraiment
si j'aimais une montagne, ou quoi que ce soit.
Mais les équipes, ils trouvent une
espèce de 2-3 heures, ils se mettent à fond dessus directement.
C'est super intéressant.
Mais pour revenir un peu sur les montants,
les salaires et tout ça,
et c'est vraiment pour encourager les personnes
pour être vraiment honnête.
Les montants, moi que je vois
dans le domaine de la cybersecurity,
dans des boîtes qui ont plus de
3000 employés, en tant que
même plus de 1000 employés,
ou autres dans le secteur de la finance et autres,
c'est des salaires qui sont très, très hauts,
je trouve.
C'est beaucoup d'argent.
Et quand j'écoute un peu des salaires qu'on avait
dans une émission d'année à fois, on voit des salaires.
On aime beaucoup d'argent ici, on parle beaucoup d'argent.
Très bien, mais pour moi, je pense que c'est un
dommage qui est très important pour des personnes pour être
motivées de rentrer sur ce marché.
Et c'est le choix des entreprises dans lesquelles vous les
travaillez. C'est le choix du
Rénau Cyber Security.
Tu peux travailler dans la recherche de failles,
tu peux travailler dans une organisation qui
organise ces recherche de failles.
Tu peux travailler dans
la boîte qui te passionne
pour plein d'autres raisons que la cybersecurity.
Tu peux aller un peu où tu veux en réalité.
Et c'est tout nouveau,
tout intéressant. Tu rencontres
plein de personnes, tu rencontres des domaines et tu apprends
sur tout le temps, tout le temps, tout le temps.
Très bien payé, on peut même le voir.
T'as eu une idée de boîtes comme ça au hasard
qui peut intéresser par des gens
dans la sécurité, vraiment c'est...
Comme ça, vraiment au hasard.
C'est une grande élancer.
Alors moi, pour donner un
ce que j'expliquais un peu,
une des grandes raisons pour
laquelles je suis super heureux de ce projet.
Une grande volonté qui j'avais c'était de
montrer un peu un visage sur des
réalités de la cybersecurity et rendre compte
que c'est un de mes très ouvert au
garçon comme aux filles.
Et qui recrute énormément
et que c'est passionnant.
Et vous n'avez pas forcément besoin de venir de
l'attaque. Vous n'avez pas besoin d'avoir
une école d'ingénieur ou quoi que ce soit.
Nous, la façon dont on recrute en ce moment,
on recrute, je m'y quelques annonces
on les publiera sur le
notre côté. Donc là, pour
des infrastructures security engineers, c'est les
personnes qui vont travailler
avec ceux qui gèrent tout notre cloud.
Là où il y a tous nos services, là où l'argent
bouge chez N26.
Donc c'est des environnements qui sont très sensibles et
autres. Mais nous, on a des centaines
et des centaines et des centaines de machines
de partout avec des choses différentes de partout.
Et comment tu fais en sorte
d'avoir plein de niveaux de sécurité
différents, d'automatiser
la sécurité au maximum, de
travailler en partenariat avec les équipes
qui créent ces infrastructures et tout cela
et de construire tout cela.
Après, t'as des équipes SRI, ce qui est
en train d'être monté, c'est Citrelability
Engineering. C'est ceux qui créent ou qui
vont construire les infrastructures elles-mêmes
dans tout l'engineering.
Et nous, on en a qui travaillent
spécialement avec les équipes security.
Par exemple, il y a des systèmes, ce qui
s'appelle un SIM,
qui reçoit tous les logs et les
évents de plein service, donc des
millions d'informations
de toutes les minutes et autres,
de tous les évents, tout ce qui s'est passé.
Et nous, on les analyse directement et
on va savoir, oh, est-ce que ça c'est faux positif.
Tient, lui, il a fait ça à ce moment-là, il est 3h
du matin, d'une adresse IP à l'autre bout.
Est-ce que c'est une fraude ?
C'est de la fraude ou pas, mais même pour les
systèmes internes. Si on a nos emplois et qu'il fête
des choses, quoi que ce soit, on analyse tout.
Donc ça, ce sont les personnes qui aident
construire ça et on n'a même pas besoin
d'avoir des personnes qui sont dans la
sécurité pour ça. On recherche des très bons
ingénieurs qui travaillent avec des
infrastructures et des systèmes distribuels.
Et on a aussi des oeuvres de product
security et eux, ils travaillent plus avec
les ingénieurs qui créent les softwares
que vous utilisez quand vous
avez fait une lancée.
J'ai cru comprendre aussi, moi, tu m'avais
partagé ce lien au début, ça m'avait fait
de l'air de me mourir de rire, que vous
avez une façon de recruter un peu
spéciale.
Tu parles du CTF, note la plupart de nos
on a plusieurs étapes sur notre
de recrutement et une des premières
étapes, c'est on a un challenge qui
commence avec un QR code, que
je vais parler un peu par la suite, j'essaye
de le sortir, mais ça a du
compliqué.
On vous mette sur un téléphone et tout,
on va discrétre pendant la fin.
Vous allez sur notre Twitter de
N26 et vous le trouverez, ça
commence par un QR code.
C'est tout un CTF
qui est le calcet.
N'hésitez pas à regarder ça.
Vous avez beaucoup d'étapes.
Vous n'avez pas besoin d'apply
chez N26.
Juste pour le fun, moi je le
fais.
Je suis pas sûr que je l'ai finie, mais
il est vraiment marrant.
Je me souviens, dans la création,
vous parlez d'un point de vue
d'humilité, c'est que la dernière
étape, à un moment, on l'avait
remodelé.
On avait un ingénieur
qui avait travaillé dessus, qui
avait écouté des étapes
spécifiques.
J'ai passé, je crois, je suis
content d'avoir fait beaucoup de
étapes rapidement.
La dernière étape, bloqué
complètement, est un niveau
sur l'humilité et tout ça.
Et dans les jeux Vincent,
parce que tu avais l'air d'aller
rapidement à tout ça, on en
reparlera.
J'ai beaucoup de travail cette
semaine, pas beaucoup de temps
à me pencher.
C'est un peu complexe.
Je parle des CTF, on est
partout dans un CTF en Chine,
une finale pareille avec 20 équipes.
On s'est pris un mur.
Les épreuves, c'était une
faille sur GitLab.
Pour le télécharger, c'est
GitLab.com slash LastVersion.
Tu as trouvé la
vulnérabilité?
C'était que les jeux celles
qui étaient à joueur.
C'est normal, tu prends de
moi.
C'est une mode de sécu.
Ça fait 6 mois qu'ils font de la
recherche.
Tous leurs bugs en mode
si les seuls n'étaient pas
mises.
Il y en a qui ont beaucoup
réussi.
Il y avait des épreuves, un bug
dans le navigateur Edge de
Microsoft.
Ils ont dit, par contre, ce bug
vous regardez pour vous,
parce qu'il sera patché dans un
mois et on vous donne le
démarrage de comment faire planter
le navigateur et ça va vous de
finir.
Il y avait des trucs hallucinants.
Il y avait une épreuve de
cryptographie.
Le lien de l'épreuve, c'était
visa.gov.us.
On les a contactés
sur IRC.
On leur a dit...
On leur a dit, il faut
hacker les 10 plus grosses
et de la jouer.
Il y a un truc.
Les gars ont dit, on va
pas finir en prison.
Du coup ils l'ont enlevée.
On leur a demandé à Pro-Chine.
Il y a un truc.
Il y a un attaque de padding
et de la suite.
C'est complexe de faire ça.
Un site dans mondial,
une erreur dans CTF et
autre.
On a ralé.
Dans les épreuves, il y avait
une épreuve où il fallait
trouver une remote code
d'exécution dans CSGO.
On a un site de l'offensive.
Si quelqu'un rejoint ton service,
il faut prendre control de son PC.
A ce moment-là,
Valve payait 12 000 euros pour ce genre de bug.
Il y a des équipes qui ont trouvé ça en moins de 6 heures.
On leur a dit, tu as regardé ce jeu.
Il n'avait jamais regardé de l'ordre.
Tu leur donnes n'importe quoi.
Incroyable.
Un autre exemple super drôle,
c'est un logiciel qui s'appelle Bache.
Il est hyper courant.
Tu peux le lancer en mode restrictide.
C'est un jeu de Bache,
un jeu de jay.
Il a trouvé une vulnerability.
Les profs se sont sortis de Bache.
Il a la fin en lisant les solutions des équipes.
Il y a eu 4 solutions différentes.
Il y a Bache.
C'est super moyen de trouver des vues.
C'est le plus utilisé au monde.
Pour ceux qui ne savent pas Bache,
c'est le truc noir avec les petites écrits.
Je passe par là pour se lancer.
C'est impressionnant.
C'est trop cool.
La particularité normalement du CTF,
c'est que c'est un cadre un peu plus simple
pour apprendre.
On crée des problèmes de toutes pièces.
On crée des bugs sur mesure.
Là, c'est des logiciels de production.
Il y avait un bug
qui savait qu'il était là.
Il t'oriente.
Il sait très bien que tu ne vas pas faire si moins de recherche en 2 heures.
C'est trop stylé.
On voit de plus en plus d'entreprises
qui essaient d'organiser des captures de flags
spécifiquement pour leurs entreprises.
D'ailleurs, de plus en plus d'entreprises,
quand tu remontes une file
qui a été remontée il y a quelques jours
chez GitHub
ou plantes des flags
dans leur infrastructure
de façon à ce que les personnes
qui trouvent ces files n'aillent pas chercher et fouiller partout.
Pour être récompensés, il faut qu'ils aillent
chercher ce flag-là.
Ils font aussi des événements.
Juste pour expliquer,
moi sur mon ordi,
sur le bureau,
je mettais si tu es un hacker,
regarde ici.
Avec un petit mail,
écoute, si tu arrives à arriver sur mon bureau,
préviens-moi.
C'est exactement ça.
Tu laisses un pichier texte,
si vous voulez.
En fait, aussi, sur les serveurs,
tu trouves les mêmes fichiers au même endroit.
Si tu as un fichier
à la racine, ce que tu as dans c,
tu sais ce qu'il y a dedans.
C'est toujours la même dossier,
mais c'est un qui est différent.
Tu vas tout de suite aller voir ce que c'est,
tout de suite, si ça s'appelle...
Dis-moi.
Si tu peux ouvrir ces files,
des choses comme ça, tu peux aller y aller.
C'est la même qui soit comme ça.
YouTube a que vous démontrer de live overflow.
Il parlait des files
qui avaient été trouvés par un chercheur
sur l'infrastructure cloud, un Google Cloud,
qui est l'équivalent de AWS,
de chez Google.
Le chercheur en question,
a commencé à regarder pour rentrer
dans les serveurs de Google Cloud.
Dans sa recherche,
un moment, il trouve un petit message
posé par les équipes SRI,
ceux qui maintiennent tous les saveurs de...
qui lui disent, bon, salut, on est là.
Fais attention de ne pas faire ça
ou qu'elle fasse comme ça.
Il laisse un petit message, ou contacte nous par là.
Du coup, il envoie un petit message.
Mais c'est marrant de voir tant en tant
que ces relations ou les deux équipes,
ou les deux personnes causées...
Il montre un endroit assez impromptu.
La team de Verizon, sur les events,
ils font ça, ils font les events,
ils font les bugboonties, et ils disent,
s'ils sont obligés de se lever et d'aller sur ton PC,
ils te disent, stop, arrête tout,
t'as un bonus de 1000$.
En fait, ils te laissent un peu
jouer avec le truc,
et ils se rendent compte que tu vas trop loin.
Il vient de te chercher.
Une question que j'avais,
on va peut-être prendre
quelques questions aussi du chat,
si on a encore un tout petit peu de temps.
Une question que j'avais pour toi Vincent,
c'est que, comme toi t'as plus le côté marque,
un peu de l'autre côté de la barrière,
c'est quoi ?
Je ne sais pas si tu peux se dire de trucs précis,
mais est-ce que ça représente un montant important
pour une entreprise de créer un bugboontie?
Parce que mine de rien un bugboontie pour rappel,
c'est des gens viennent te voir et te trouvent des vulnérabilités,
tu leur donnes de l'argent.
Potentiellement, ça peut faire peur pour une entreprise
parce que tu dis, attends, imagine, imagine,
juste imagine.
On a 1000 bugs, je dois tous les récompenser.
Est-ce que je ne vais pas devenir ruiné?
Comment ça se passe?
Pour être très sincère,
et c'est pour ça que je l'aime beaucoup,
un de 26, c'est la façon où on approche la sécurité
et on n'est absolument pas les seuls.
L'approche de cette manière-là,
c'est nos limitants sur nos bugboonties.
Le jour où il y a des personnes
qui viennent nous remonter 50 vulnérabilités critiques
et qu'on doit payer le maximum,
mais on le fait avec le plus grand plaisir.
Parce qu'il faut dire que c'est potentiellement
de l'argent gagné sur ce qui aurait pu se passer.
C'est très rare par rapport à un vrai problème
qui peut arriver. Quand tu vois des hackers
qui se font récompenser par 100 000 dollars
pour avoir acquis des trucs dans Google,
Google, si ils éteint une journée,
ils ne perdent pas 100 000 dollars.
C'est des sommes énormes.
En fait, c'est un investissement qui peut être rentable.
Alors c'est ça ou moins...
Quand tu es un chercheur
qui trouve des trucs sympas,
tu as vraiment envie de continuer
en fait à chercher chez toi.
Mais ça, c'est...
C'est quelqu'un que je ne pourrais sûrement jamais embaucher
parce que s'il en freelance,
c'est un profil de freelance.
Et du coup, le seul moyen de le garder un peu chez toi
et qui bosse pour toi, c'est un peu cette carte-là.
Moi, je reposais des files en 26
et à un moment ils m'ont dit...
Et ça ne coûterait peut-être moins cher de...
Oui, ça peut être un moyen de se faire gruter aussi.
C'est comme ça qu'on m'a contacté.
Ça m'a élevé, j'ai refusé le poste.
En fait, j'aurais dit, bah, on allait...
Ouais, t'as trouvé beaucoup de bugs chez nous,
tu avais envoyé plein d'argent.
Et je lui ai dit, je fais barrer à l'est,
moi, j'ai gagné tant chez vous.
Vous me payez comme...
C'est marrant.
Mais du coup, sur les montants,
moi, c'est aussi quelque chose sur lequel on n'arrête pas de les augmenter
et qu'on a très peu de barrières chez nous
alors qu'on a ces discussions-là en interne
et on veut l'encourager.
Parce que ce qui nous fait le plus peur en réalité,
c'est pas le fait qu'on nous remonte des files.
C'est qu'on nous remonte des choses que les personnes pensent,
c'est des files mais ce n'est pas des files.
Donc c'est quand ça fait ce qu'on appelle du bruit ou du noise
ou tu as des faux positifs
ou les personnes croient et ça prend beaucoup de temps,
c'est là où tu peux perdre beaucoup de temps
au pire du temps.
Tu dépenses l'énergie.
Pour expliquer, pour créer la relation avec les personnes,
pour leur dire non, ce n'est pas une file pour cela et tout ça,
mais pour récompenser des personnes
avec grand plaisir.
Et ceci le fait que c'est reconnaître
que c'est impossible d'avoir des cms qui soient parfaits
et être
dans l'inverse, se dire non,
on ne récompense pas ça parce que ce n'existe pas.
C'est la technique de l'autre je ne l'ai pas parlé.
Donc oui, il venait trouver des files
chez N26 et c'est génial.
Et pas que N26,
allez sur ces plateformes,
yasouyaq,
akaouane.
Les problèmes publics par exemple,
rentre ton autre prénom, c'est inscrit et c'est parti,
tu peux commencer.
Tu peux déjà commencer, il n'est pas besoin d'être accepté
dans un truc privé et tout, c'est intéressant.
En tant que...
C'est pour toi que tu parles.
Oui bien sûr, moi quand je me ma capuche la nuit.
Non, ma question c'est,
là on a décrit comment fonctionnent
les gens qui restent dans le cadre légal.
C'est à dire que
si tu es intéressé par le hacking,
tu peux gagner de l'argent comme ça.
Donc en faisant des bugboonsies,
c'est quoi en fait
les marchés parallèles
qui existent sur les vulnérabilités?
Parce que une vulnérabilité, tu peux te faire payer
par Google,
par exemple, si tu as trouvé une faille chez eux,
ou je pars à N26,
tu trouves une faille chez vous,
c'est pas les seuls endroits où tu fasses le monnaie.
C'est pas assez simple.
De mon expérience,
c'est heureux de savoir ce que tu vois de l'autre côté,
parce que c'est vrai que les plateformes, on peut vendre
des enquêtes très connues qui s'appellent zéro diomes
et qui sont spéciaux.
Du coup zéro diome, c'est quoi?
Tu trouves une faille dans un système
et au lieu de la remonter
à l'entreprise ou la boîte en question,
tu la remontes à cette entreprise tierce
qui, elle, décide
d'en faire ce qu'elle veut
et ça peut aller souvent à la vendre un état
qui a des...
Si tu achètes des bugs à un million, il faut demander
qu'il peut payer plus que ça pour acheter le bug de l'autre côté.
On parlait d'éthiques,
je pense, ou des genre de sites.
On sait pas où ils se sont.
Si tu as beaucoup d'éthiques, tu ne peux pas vendre
à ces genres de sites.
Parce que, eux, ils achètent certaines vulnérabilités
jusqu'à un million, j'ai vu des trucs sur iOS
ou des choses comme ça.
Il y a beaucoup de marketing
et...
Donc, logiquement, comme tu dis,
s'ils payent autant,
c'est pas qu'ils vont pas aller voir l'entreprise
et leur donner des gentils conseils
pour qu'ils deviennent plus sécurisés.
Qu'est-ce qu'on peut supposer?
Vendre des états.
C'est ça, souvent, des états qui n'ont pas...
La plupart des états
ont investi dans des équipes
et donc, souvent, on n'a pas forcément besoin
de passer des entreprises comme ça.
Il y a des états qui sont plus petits
qui ont passé un certain moyen.
Ils peuvent acheter directement ces vulnérabilités
soit que leurs équipes de leur côté
sont simplement...
C'est un peu des mercenaires de la cyber guerre.
Ils vendent des armes, en fait.
C'est ça, c'est simple, l'équivalent.
On prend la guerre et la cyber guerre.
C'est des lendards d'armes.
C'est légal, après...
légal, ouais.
C'est ça l'admission que tu cherches.
C'est légal.
Ceux-là, ils sont...
Ils sont plus que border.
C'est un grave border.
C'est chaud.
Ce que j'avais en tête,
c'était même des plateformes
parfaitement illégales de marché noir.
Ça existe, je crois.
C'est là où on voit
ce que tu vois de l'autre côté.
Nous, ce qu'on voit énormément chez une 26,
il n'y a pas qu'une 26,
c'est dans la plupart
de tout ce qui est
boite qui vend un produit
à des clients finaux
sur Internet.
Là où on voit souvent du marché noir,
ce n'est pas tellement dans la cyber sécurité
de personnes qui vont vendre des failles
comment hacker une 26.
Et c'est assez simple.
Lorsque les personnes disent
je vais hacker une banque
et je vais voler de l'argent.
Encore une fois, la réalité n'est pas
que tu hacks la banque
et l'argent tu la prends et tu la mets dans ton...
Il y a tellement de niveaux de sécurité
et de mécanismes et de...
C'est un opérationnel et autre.
Donc ça ne prouve pas même si ça arrive à faire la transaction.
Ça ne veut rien dire qu'elle se passerait réellement.
Donc la fraude,
en fait, il y a plus de fraude.
C'est là où il y a souvent des black markets.
C'est pour ça qu'on voit souvent,
vous voyez, de boîtes qui recrutent.
Vous voyez souvent des personnes dans des teams
comme Troussin Safety,
Fraude,
Antimonale Under Ring,
Lut contre le Blanchiment d'Argentin
parce qu'il y a énormément
de personnes qui sont malicieuses
qui ne se rendent compte qu'ils n'ont pas besoin
d'avoir la connaissance technique
pour abuser le système,
ou pas très pousser,
mais qui peuvent essayer d'abuser la logique
à grande échelle. Pensez-vous
que vous avez... Le business des cartes bleues.
Quand les hackers, quand ils se changent de cartes bleues,
je dirais que je dis plus pirate
que hacker. Les pirates, quand ils se changent de cartes bleues,
en fait, ils se les vendent pour quasiment rien.
Ça coûte, on va dire, 10€ une carte bleue
avec tous les infos sur le net.
Et en général, tu vas aller voler 20€, tu.
Après, comme ça, tu la... et t'en achètes 1000.
C'est ce qu'on appelle le carding. On en a parlé aussi.
Si vous voulez, sur ma chaîne, vous pouvez aller voir
à la vidéo des 10. Si tu voles 2000€ à quelqu'un,
il va se rendre compte tout de suite et ça va créer plein de procédure, etc.
Alors que si tu voles 20€ à
10 000 personnes,
c'est là que ça traverse plein de trucs.
Et la police, même si il y en a qui se rendent compte,
devant les 20€ qui manquent,
ils vont les voir à la police si ils vont faire.
En fait, sur les...
C'est là ou de l'autre côté, c'est la banque
ou même d'autres milieux,
c'est eux qui vont payer et prendre.
Et c'est là où ça peut coûter bien plus
sur l'entreprise. Mais c'est vrai que moi,
un grand...
un grand message d'appréciation à toutes les personnes
qui s'assentent aussi de travail,
pas dans ce type de personnes qui ont des anti-hackeurs
où ils font toute la signe, c'est super chagny,
tu sais ça. Il y a une quantité de travail
qui est faite et est super intéressant.
Nous, on le voit aussi chez N26,
dans une étude des technologies
de machine learning
et des comportements et tout cela.
Et des méthodes
d'une créativité. C'est un jeu du chat et de la souris
sur lequel
je suis impressionné par le talent
des personnes qu'on a dans ce scène de nos équipes
à trouver toutes les façons
de détecter
des comportements fronds du leu
sans que les personnes de l'autre côté puissent comprendre
ce que nous on a détecté.
Comme ça, ils ne peuvent pas simplement changer la petite chose
et hop, on peut bâtir les trucs.
J'ai pensé aux antichits dans les jeux vidéo par exemple.
Exactement là. Et c'est toujours faire très attention.
Il y a énormément de philosophies de méthodologie
puisqu'au final de temps en temps, il y a aussi dégâts
dans le sens où est-ce que tu as besoin d'avoir
le système de sécurité parfait pour la fraude
ou est-ce que tu as besoin d'avoir un niveau
qui est force à aller taper chez quelqu'un d'autre.
Et il y a aussi...
C'est vrai que moi je dis toujours, il faut être juste supérieur à ce qu'ils vont de voler
mais il faut être supérieur aux autres comme ça
pour être le plus lent du groupe.
Alors, c'est pas le...
Si tu te fais poursuivre par Allian, il faut courir plus vite que ton voisin.
Ouais, c'est pas ça.
Mais c'est pas...
C'est absolument pas l'approche qu'on essaie d'avoir
sur le long terme.
Et on va essayer de venir au maximum.
Mais tu as plein de façons, ou quand tu as
d'autres types d'attaques qui arrivent ou de comportements,
tu vas dire bah, tu ne vas pas directement
en prendre un seul, oublier les 3 autres
et les laisser être abusés,
et essayer de le résoudre par fait.
C'est incassable.
Je vais monter le niveau progressement,
un niveau qui va vraiment diminuer l'impact directement
et sûrement pousser les personnes à retravailler leur côté.
Ça donne du temps
pour t'adapter directement
et directement...
Une approche intelligente de...
de la progression en sécurité.
Ah ouais, c'est très bien.
Franchement, c'est pas seulement comme sujet, on pourrait vraiment discuter toute la nuit.
J'ai vu pas mal de questions,
notamment des questions qui sont peut-être un petit peu trop techniques
et précises sur un sujet technique.
Donc si vous voulez en apprendre plus,
vous avez la ressource dont on a parlé avant,
vous avez peut-être la chaîne de Live Overflow
qu'on a mentionné aussi, qui est anglophone,
mais où vous aurez un petit peu plus de...
de dur, voilà.
Et mes vidéos, mais...
qui sont pas les plus techniques du monde, mais où il y a un petit peu
de sécurité de temps en temps, parce que... parce que c'est cool.
N'oubliez pas,
on arrive à la fin de l'émission, malheureusement,
c'était vraiment très sympa.
J'espère que vous avez apprécié ce moment.
N'oubliez pas de suivre cette chaîne Twitch,
de vous abonner à la chaîne YouTube,
où vous pouvez découvrir des extraits condensés.
Si vous êtes arrivés en cours de route, que vous avez raté des choses,
vous pouvez avoir des versions comme ça, 15-20 minutes,
de Live tout simplement.
J'ai plus qu'à vous souhaiter une très bonne soirée,
ou est-ce qu'on peut vous suivre ?
Twitter, Bitcoin,
Bitcat, Twitter.
Underscore ?
C'est n'est pas une coincidence.
Le underscore magnifique.
Et ben, pour moi, si jamais vous l'unissez,
vous pouvez me rencontrer chez N26, vous pouvez appeler
sur le blog de N26,
et suivez votre procès de recrutement,
rejoins nos équipes, et je vous rencontre
avec grand plaisir, à Berlin, en Allemagne.
Et on sera heureux de vous accueillir.
Qui est un vendeur ?
Moi, je viens d'un ordre, donc...
Non, mais réellement,
on est très heureux de faire partie
un peu de ce projet.
On aura peut-être des personnes non-identifiques,
qui passeront, on essaie
de trouver des personnes un peu techniques.
Et encore, merci beaucoup.
Merci à toi, Vincent.
C'est merveilleux. Je pense qu'il y a beaucoup de personnes
qui ont voie les retours.
C'est que le début de cette aventure, mes amis.
J'espère que vous allez apprécier ce moment.
Merci à vous de nous avoir suivis.
Et puis voilà, on se dit à très bientôt.
Très bonne soirée. Salut !