Pourquoi Banque Populaire est la première banque des entreprises ?
Je me posais des questions sur le partage de la valeur pour mes salariés.
Elodie, ma conseillère Banque Populaire, m'a proposé une solution d'épargne salariale sur mesure,
rapide à mettre en place et que je peux piloter en ligne.
C'était simple et surtout ça a fait des heureux.
Accompagner nos clients sur tous les territoires avec des solutions adaptées à leurs besoins,
c'est ça, être la première banque des entreprises, Banque Populaire, la réussite est en voulue.
Étude Quantar PMEP, mid-2023, 14 Banques Populaires, 1ère Banque des PM.
Rony était trop pressé, il voulait commencer tout de suite à nous raconter.
Donc sans vous spoiler, je vais vous faire ma petite introduction.
Aujourd'hui, on reçoit Rony Carter, hacker éthique, qui va nous raconter
comment, lorsqu'il était à Las Vegas pour une convention de hacking,
il a découvert une faille complètement dingue qui concerne un nombre de systèmes hallucinants,
dont des banques, des PS5, les téléphones sur Android, les systèmes de mise à jour de Windows,
d'Apple sur iOS et même le jeu PUBG.
En quelques heures dans la nuit, tu vas comme ça casser la sécurité de dizaines de boîtes
et gagner directement 10 000 balles grâce à leur programme de bug booty.
C'est ce que l'on appelle une nuit rentable.
Le but c'est surtout de comprendre comment ce type de faille,
qui encore utilisé aujourd'hui, pourrait permettre d'infecter par exemple un Nordie ou un système
via une fausse mise à jour par exemple.
Et c'est vraiment intéressant du point de vue du hacker.
Déjà pour resettuer un petit peu d'où toute cette histoire est partie,
tu es à la DEF CON, donc c'est une conférence de hacking,
et tu es lors d'une conférence avec un pote qui est en train de s'endormir.
Exactement, OK.
Et tu découvres quelque chose en gros ?
En gros, on est à la DEF CON avec mon ami Shlomi et quelques autres hackers.
Et lui en fait, il a assisté à une conférence et il m'a dit,
« Ronnie, je me suis rendu endormi pendant la conférence. »
Mais à la fin il a dit un truc intéressant et je pense qu'on peut trouver cette faille en bug booty
et se faire énormément d'argent avec.
Alors bon moi j'écoute, j'entends, j'entends.
Et au début il m'explique la faille, je vais pas rentrer tout de suite dans les détails,
il m'explique la faille et je lui dis mais c'est pas une faille.
Et il me dit si, parce qu'il y a des énormes boîtes qui se sont fait péter,
PUBG, Apple, Microsoft, ils ont tous payé en bug booty,
il y a un truc qu'on comprend pas, il faut qu'on comprenne.
Et donc la chose intéressante c'est que cette personne qui a fait cette conférence a créé un outil
et l'a mis complètement open source pour retrouver exactement la même faille.
Donc nous on s'est empressé d'aller chercher son outil
et comprendre mieux en fait c'était quoi cette faille de sécurité
et on a passé une nuit blanche à essayer de réimplémenter son outil,
à le faire fonctionner avec nous, nos outils qu'on a à côté.
Et finalement cette nuit blanche a été très très rentable
parce que le lendemain on a réussi à faire fonctionner,
on était en milieu de la DEF CON,
donc c'est la plus grosse conférence de sécurité au monde,
on était entouré de record, on était dans une table au milieu.
Et là on arrive à péter une énorme boîte
et juste derrière il y a le head of security de la boîte qui arrive
et il nous connaissait, il regarde nos troires dits et on est en mode ça c'est toi.
L'histoire est folle.
Pourquoi nous dire le nom de la boîte ?
Je n'ai pas le droit de dire le nom de la boîte comme d'hab,
mais du coup ils ont payé plus de 10 000 dollars pour cette faille
et donc moi aujourd'hui mon objectif c'est de vous expliquer cette faille
et pourquoi elle était si intéressante.
Si intéressante, très actuelle.
Et justement je trouve le côté de la fausse mise à jour
est très angoissant du pense-mise d'utilisateur,
au terme de moi juste de je fais mes mises à jour normales,
mais je ne me doute jamais que derrière peut se cacher une infection par exemple.
Oui, mais c'est une faille qui est un petit peu technique,
donc il faut s'accrocher un petit peu mais vous allez apprendre des choses sur
comment marchent justement les mises à jour et le chiffrement de manière générale.
Exactement.
Donc tout commence d'un recherche d'un gars qui s'appelle Apo,
il vient de la Finlande,
et c'est un seigneur security specialist,
donc en gros il est spécialisé dans la sécurité,
typiquement de la IoT et dans la cryptographie.
Donc ça a un sens avec sa recherche.
Et en fait pour comprendre sa recherche,
il faut qu'on revienne un peu sur les bases de comment fonctionne Internet.
Typiquement à chaque fois qu'on va faire une requête sur la site,
on a notre utilisateur qui va appeler une machine B.
Et à partir de là, on a un échange d'information.
Et cet échange d'information, on veut qu'il y ait personne qui soit au milieu.
Et donc qu'est-ce qu'on va faire ?
On va mettre une couche de sécurité qui s'appelle le TLS.
Et le TLS, transport security layer,
c'est un peu comme une carte d'identité qu'on a nous dans notre poche tous les jours.
Et le but du TLS c'est de dire un site,
je suis tel site et tu peux attester que je suis tel site,
je ne suis pas quelqu'un d'autre.
Parce que imaginons si au milieu du transfert d'information,
quelqu'un se met au milieu et dit,
non en fait c'est moi lui, ça va être compliqué.
Donc on a cette carte d'identité
où on a plusieurs champs qui sont donnés,
on a qui est le domaine,
qui a créé le certificat et la signature.
Et donc la signature c'est la partie, l'une des parties plus intéressantes
parce que c'est un calcul mathématique qui atteste
qu'on est bien le possesseur de tel certificat
et que du coup on ne peut pas le reforger.
Et donc ça c'est comment fonctionne aujourd'hui le TLS
et je pense que vous avez sûrement entendu parler
avec le petit cadna vert sur les navigateurs,
typiquement c'est ça le TLS.
Donc quand tu cliques sur le cadna,
tu peux voir effectivement des informations supplémentaires.
Exactement.
Et typiquement le nom qui a écrit à cet endroit-là,
ça fait partie de l'identité de TLS c'est ça.
Exactement, en fait on va avoir plusieurs informations,
donc comme on a dit le domaine,
et celui qui a délivré le domaine,
par exemple nous sur le cadna entee,
c'est la France, la Suisse, n'importe quel pays.
Ça c'est aussi une donnée qui est super importante
dans le certificat et on va comprendre pourquoi juste après.
Donc en théorie, quand un client demande
une information à un serveur,
il reçoit le certificat et il doit vérifier 3 valeurs.
La première c'est on a dit la signature,
donc que le certificat appartient bien
à la personne qui nous l'envoie.
Qui a délivré le certificat,
parce qu'il y a plusieurs entreprises
qui peuvent délivrer les certificats,
comme nous les cardiensités en Europe
peuvent être délivrées par plein de pays différents.
Et qui est le détenteur de ces certificats.
Sauf qu'il faut savoir que cette sécurité de vérification
est optionnelle.
Ce n'est pas quelque chose qui est implementé
au sein du protocole,
c'est la responsabilité du client
qui demande le certificat, qui doit vérifier.
Et donc en théorie,
c'est une faille qui ne devrait absolument pas exister
et d'ailleurs qui n'existe absolument pas dans les navigateurs.
Par contre, quand on est dans le monde d'Android, IOS,
l'Arto Air, l'IoT,
on travaille sur une couche un peu plus basse
et donc on est plus sur la sécurité des navigateurs
et plein de gens réimplémentent leur propre vérification
de certificat.
Et là, c'est où tout le bordel commence ?
C'est à dire que c'est des projets, des développeurs.
Exactement.
Pas Chrome ou Firefox.
Exactement.
Et qui, justement, multiplient les implementations
potentiellement mal.
Exactement.
J'ai une question, du coup.
Parce que quand t'accèdes à un site depuis ton téléphone,
au final, c'est le même...
Mes bergers, enfin je sais pas comment dire,
t'accès à la même...
Au même site.
Ouais, au même site que si t'étais sur ton...
Ouais, je pense qu'en gros,
il faut distinguer quand t'es sur ton navigateur
sur ton téléphone.
Et tout ce que ton téléphone fait,
par exemple en arrière-plan, etc.,
en discutant lui-même avec des serveurs.
Il n'y a pas que le navigateur qui parle avec des serveurs.
T'as des applis sur ton téléphone.
Tu parles des applis, du coup, là.
Exactement.
Tu as le système aussi, typiquement,
quand tu te connectes à ton compte Google
sur Android,
ou quand tu fais une mise à jour au hasard,
tu parles un serveur, en gros.
Et du coup, pour faire ça, normalement,
on utilise des librairies et des dépendances
qui vont réussir à nous mettre
cette couche de sécurité.
Mais maintenant, il y a plein de développeurs
qui se disent, c'est facile.
Je vais réimplémenter cette vérification
moi-même, et même certaines librairies,
en fait, sont vulnérables à des attaques
assez intéressantes.
Donc, on a dit, on a 3 vérifications à faire.
La signature,
qu'il y a des livrets certificats
et qui est le détenteur du certificat.
Et, en fait,
si un attaquant se met au milieu de l'échange,
il peut voir le certificat
qui est envoyé.
Et du coup, sa vérification,
et donc le but du certificat, c'est de chiffrer le trafic.
Donc après, il peut voir le certificat,
mais il peut pas voir tout le trafic qu'il y a derrière.
Sauf qu'un attaquant peut prendre le certificat TLS
et changer une des 3 vérifications.
Et donc, imaginez,
vous changez juste la signature
et vous mettez une signature au hasard.
Et que le client ne vérifie pas
que c'est la bonne signature,
alors il va réussir à voir le trafic.
Pareil, on peut demander à une autre boîte
de nous redonner un certificat
pour le site de quelqu'un d'autre.
Ça, c'est quelque chose qui est totalement autorisé à faire.
Et donc, on ressigne tout le trafic
avec le certificat de l'attaquant.
Et derrière, la dernière attaque,
c'est de dire,
peut-être que le client ne vérifie
même pas qu'il est en train de parler
avec le bon site.
Et donc, moi, je vais changer le domaine
et je vais mettre le certificat
d'un site que j'ai vraiment.
Et donc, il y a encore une fois
le certificat de l'attaquant
et on peut voir tout le trafic
en tant qu'attaquant.
Attends, donc là, tu as distingué
deux types d'attaques différents, c'est ça ?
C'est trois types.
Trois types d'attaques.
Tu as le changement de signature,
le changement de détenteur du certificat
et celui qui a donné le certificat.
Ok.
Donc, pour qu'on comprenne bien,
dans le premier cas,
je peux créer un nouveau certificat
qui n'est pas celui qui a été émis
par le détenteur original du site.
Exactement.
Ça, ça te débloque quoi ?
Ça te permet de faire quoi ?
C'est en fait, à partir du moment
où le client ne vérifie pas
le certificat correctement,
nous, on peut chiffrer tout le trafic
avec notre propre certificat
et après parler à l'autre site
avec son certificat.
On se met au milieu, en fait,
et donc, on voit tout le trafic
entre le client et le serveur.
Et à partir de là,
c'est-à-dire qu'on peut voir
toutes les données personnelles
et on peut modifier toutes les informations.
Mais ça, c'est que dans...
Déjà, ça, c'est le premier stade, ça.
Ouais, c'est le premier stade,
mais c'est le seul stade
qui a, d'ailleurs, pour cet attaque.
Ok.
Mais ce que j'ai mal compris,
c'est que tu as distingué
en gros trois types de changements
que tu peux faire sur le certificat.
En fait, les trois servent à faire la même chose.
Exactement.
C'est juste, si le client ne vérifie pas
qu'il parle au bon serveur,
bah en fait, à partir de là,
on peut faire notre attaque.
Et, ok, donc en gros,
il faut que le développeur ait fait tout parfait
si on a...
Si un des trois brets est mal implémenté,
pourquoi qu'il arrive...
La méthode va changer un petit peu
dans un cas, tu demandes un certificat,
quelqu'un d'autre pour le site.
Dans un autre cas,
tu crées juste ton propre site à toi
et ça fonctionnera.
Exactement.
Mais dans les trois cas,
tu arrives à extraire le truc.
Ouais, en fait,
il faut que tu te imagines
que quand tu vérifies ta cardidantité,
tu vérifies le nom, prénom,
le gouvernement
et la signature qui est derrière.
Et donc, dis-toi que moi,
par exemple, je donne ma cardidantité
et je mets le nom de prénom
quelqu'un d'autre.
Ou sinon, je donne la cardidantité,
mais c'est un autre pays que celui que je suis.
Ou sinon, je mets la signature
de quelqu'un d'autre.
Mais finalement,
ça fait la même chose.
Il passe la vérification
et il dit, ok.
Donc, je peux voir tout le trafic.
Le but de TLS,
c'est d'empêcher de voir le trafic.
S'il y a une mauvaise implémentation
du client, parce que c'est optionnel,
alors à partir de là,
on a cet attaque d'homme
dans le milieu
où on peut voir tout le trafic
et le modifier.
Et du coup,
c'est le cas.
C'est-à-dire que les gens font mal ça.
Exactement.
C'est le Béhaba, tu vois.
C'est le Béhaba.
En fait, c'est une faille
qui existait depuis 2005.
En 2012, il y a eu des roches
qui ont été achetées là-dessus
par Martin Georgiev.
Et il a dit,
à cette époque, en 2012,
ce type d'attaque
d'oubli de vérification du certificat
est l'une des attaques
les plus dangereuses
sur Internet à cette époque-là.
Sauf que depuis 2012,
il y a eu énormément de sécurité
et on s'est dit,
on a tous oublié.
Mais à Pau,
lui, il n'a pas oublié.
Et il s'est dit,
tu sais quoi,
on va refaire le même type d'attaque
et je vais créer un outil automatisé
qui va écouter tout le trafic
et juste re-générer des certificats
jusqu'à que je pète une boîte.
Et lui, il a fait un truc marrant.
Il a carrément pris des étudiants
puisque je les rencontrais après
et il m'a raconté ça.
Et il a dit aux étudiants,
ouvrez plein d'applications
sur votre téléphone,
sur mon réseau wifi verrelé.
Et si vous trouvez une faille,
je vous paye.
Et du coup, après, lui,
il envoyait en bug bounty le truc.
Et juste à la chaîne,
ils ouvraient tout.
À la chaîne, plein de trucs,
plein de pages,
jusqu'à qu'il y ait une app
qui se fasse péter.
Et du coup,
il a proposé ça à des étudiants.
C'était grave fun.
Salut !
Si vous appréciez Unorscore,
vous pouvez nous aider de ouf !
En mettant 5 étoiles sur Apple Podcast,
en mettant une idée d'invité
que vous aimeriez qu'on reçoive,
ça permet de faire remonter Unorscore.
T'es d'une fusée.
Donc...
D'accord, mais du coup,
dans cette liste-là,
parce qu'on a mentionné des noms de fous,
tu te dirais une sombre application
sur le Play Store
qui fait les choses mal.
D'accord.
Mais là, si c'est...
Là, on va vous montrer
la démo d'appau directement
comment lui l'a réussi à péter
l'Apple Store.
Et donc, je pense que ça va être
un peu plus parlant à ce moment-là.
Donc, ici...
Et ça doute de quand, ça va,
parce que tu disais,
déjà en 2012, il y avait des sorties...
En août dernier.
Mais c'est incroyable.
Il n'y a pas longtemps.
C'est incroyable.
Et là, ici,
on voit qu'on a l'App Store
à droite et à gauche.
On a l'outil.
Vous inquiétez pas,
pour l'instant, c'est un beta,
mais ça va devenir très clair
dans quelques secondes.
Là, il vient de lancer
le téléchargement d'une appli.
Exactement.
Il vient juste de lancer
l'attachement de l'appli LinkedIn.
Et là, bon, ça pop en rouge.
C'est très parlant.
Et dans quelques secondes,
ça, c'est toute l'information
de l'Application LinkedIn.
Donc, ça veut dire
qu'il est en train de voir
l'installation de l'Application LinkedIn
et il peut modifier son installation.
C'est-à-dire qu'il peut
mettre n'importe quelle application
à la place de LinkedIn
au moment où quelqu'un
installe son application
sur son wifi.
La vanille.
C'est ça.
C'est dingue.
Non mais ça explique.
Exactement.
Alors, j'ai une question.
C'est que, est-ce qu'il peut aussi
injecter potentiellement
une logique spéciale
dans l'appli LinkedIn ?
Une version modifiée de cet appli.
C'est ça le but.
C'est en gros,
sur ce type d'attaque spécifiquement,
l'objectif c'est
soit de voir l'information confidentielle,
mais ici, c'est pas
l'information confidentielle.
Donc, il faut changer l'intégrité
pour essayer de mettre
une backdoor
sur le téléphone de la victime.
Et là, effectivement,
on pouvait changer
l'APK
ou ici, sur iOS
et dire, je mets
l'application
que j'écoudais moi-même
et qui va prendre
toutes les données
de contact,
toutes les données
du téléphone.
Par exemple.
C'est ça.
Mais plus que LinkedIn,
même toutes l'autorisation
que t'as sur iOS.
On a des pop-ups quand même.
Exactement.
Mais de fait,
t'es en position
de légitimité.
C'est-à-dire que
l'utilisateur de son point de vue
l'a installé
une application
sur le store officiel.
C'est LinkedIn
qui te demande
accès au contact,
au photo,
ou autre chose.
Tu vas dire oui, probablement.
Exactement.
Parce que c'est flippant.
Exactement.
Et donc,
pour cette faille,
Apple lui a donné 10 000 dollars.
C'est toi ?
Oui, j'étais aussi étonné.
C'est pas tant que ça.
On est d'accord, hein.
Mais,
avec ce type de faille,
il a pété d'énormes boîtes.
Donc, on a Apple,
les SDKs de Azure,
donc des librairies
qui vont faire
cette vérification,
qui sont faites pour cette vérification
et du coup,
lui, il les a pétées,
allègrement.
Il a fait aussi sur Windows,
ou si on l'aençait
une certaine fonctionnalité
dans Windows
et qu'on était sur son wifi,
on se prenait une backdoor
automatiquement.
Et derrière,
il y en a plein d'autres
qui n'ont absolument pas le droit
d'en parler.
Mais sur les 3 grosses
failles qu'il a réussi
à parler à la DevCon,
il s'est fait 70 000 dollars.
Oui.
Ce qui est
assez impressionnant.
Et surtout,
quand on parle d'une faille,
il y a un truc
qui est compréhensible
par tout le monde
et qui est très ancienne.

Et là,
tu te dis qu'il y a un vrai souci.
Je ne comprends pas, moi,
en fait.
Quand la sonnette d'alarme
a déjà été donnée
et que ça fait plusieurs années
et que ça a l'air d'être...
J'ai l'impression de ce que tu disais,
relativement simple
de pas lier à ça.
Juste la vérification, en fait.
Exactement.
Pourquoi est-ce que c'est pas
systématique, en fait ?
Quand on fait de la recherche
en cyber security offensive,
il y a un truc assez intéressant,
c'est-à-dire,
il faut chasser
la connaissance qui a été perdu.
Et donc,
des fois, revenir en arrière
va aider à trouver
des failles futures
en réimplémentant
la même logique
mais sur les nouvelles technologies.
Et en fait,
dans les navigateurs,
cette faille a été
complètement patchée
et il n'y a
aucune faille de sécurité
là-dessus.
Mais,
vu que la technologie,
à l'époque,
on n'avait pas
d'applications Android,
d'IOS,
on n'avait pas d'IOT
aussi poussé,
ben,
eux, ils n'ont pas pris
le train de cette sécurité-là
et donc,
on refait
les erreurs du passé.
Et ça fait que
on peut faire une attaque
où quelqu'un
se met sur ton réseau
et peut voir ton trafic,
même si t'as le TLS,
qui est normalement,
le but, c'est de ne pas
pouvoir faire cet attaque.
L'enterté du TLS,
c'est de vérifier
qu'on parle bien
la bonne personne.
Pour préciser aussi,
tu parles
de cet attaque,
du coup,
de l'homme au milieu, etc.
C'est quoi le genre
de scénario
où tu peux
appliquer l'attaque ?
La toit de chez toi,
tu ne peux pas non plus
aller...
Bien sûr,
aller acquis
quelqu'un qui nous regarde
en ce moment.
Bien sûr,
il y a des prérequis
à cet attaque,
c'est d'être
ce qu'on dit
adjacent
au réseau.
Ça veut dire
qu'il faut être
sur le même wifi
et pouvoir,
d'une certaine manière,
contrôler
le DNS
de la victime.
Ça, par exemple,
c'est très facile
si on crée son propre
hotspot wifi
et à partir de là,
on peut
créer cet attaque.
Donc,
dans un aéroport,
dans des grosses conférences,
dans des
coffee shops,
c'est une attaque
qui est très réaliste.
Maintenant,
c'est aussi possible
que des applications
qu'on installe
peuvent aussi changer
les paramètres DNS.
Ça requiert un certain
niveau de privilège,
mais dans le trait model,
donc,
c'est-à-dire
la surface d'attaque
des applications Android
ou iOS,
si une application
peut péter
une autre application,
c'est pas normal.
Donc,
c'est une grosse vie de CQE.
Donc là,
en gros,
les DNS,
c'est un peu le registre
qui dit
où se trouvent
les sites sur Internet.
C'est ça.
Si tu arrives à le modifier,
tu peux arriver
à créer un embrachement
sur le...
Tu peux dire que Google.com,
en fait,
c'est
ton site web
que tu as créé toi-même
et qui va créer cet attaque
avec le certificat
et donc,
tout le trafic passe par toi.
Donc toi,
tu vas redonner le trafic
à Google
à un moment donné,
mais sauf que vu que tu es au milieu,
tu peux faire un peu
ce que tu veux.
Pour ceux qui ont potentiellement
craqué des logiciels adobres
un jour quand vous étiez petits,
vous avez ouvert un fichier
host,
eh bien,
vous faisiez à cet endroit-là
une redirection DNS.
Ça sent le vécu.
Non,
j'ai vu ça
dans un documentaire.
Donc,
tu as parlé du scénario
de l'attaque
sur le réseau Wi-Fi, par exemple,
dans un coffee shop.
Est-ce qu'on pourrait imaginer
ce que là,
on parle de réseaux plus petits
que sur des réseaux plus grands,
que ce soit des vulnérabilités utiles.
Oui,
tu parles d'une faille
qui est très, très ancienne,
et donc
qui intéresserait très probablement,
je ne sais pas,
des gouvernements
ou des choses comme ça.
Est-ce que tu penses
ce scénario
a du sens que
des agences gouvernementales
utilisent ce genre de vulnérabilités ?
Alors, de ce que je sais,
c'est que cette faille a été
testée sur des réseaux 4G.
Donc,
il y a dans certains pays,
on peut acheter
des bornes réseaux 4G
en tant que particulier,
ce qui est déjà assez innocent.
Et donc,
cette attaque a déjà été testée
et c'est assez transparent.
Maintenant, au niveau étatique,
ça veut dire que
pour l'utilisateur,
il ne voit pas ce qui est en train de se passer
et il s'est fait péter
alors qu'il n'a rien vu.
Donc, en gros,
c'est faisable ?
C'est faisable.
Maintenant,
du côté étatique,
ils ont la techno pour,
mais ce qu'il faut savoir,
c'est comme on a dit tout à l'heure,
le cadenaver,
on peut voir le certificat
et donc,
on peut aussi voir
qu'il a été modifié.
Donc, c'est une attaque
qui est transparente
si on n'est pas un utilisateur averti,

M. Lambdac,
dans un vie de Louis Jau,
mais si les gens commencent
à vérifier le certificat,
on peut voir qu'il a été
vérolé
et qu'il a été compromis.
Donc, c'est là,
peut-être au niveau d'un état,
on ne voudrait pas forcément
voir ce type d'attaque,
mais sur des attaques précises,
c'est carrément possible.
Ok, donc,
ce que tu veux dire,
c'est que, genre,
la NSA
ne ferait pas ce genre de truc
à grande échelle
parce qu'un chercheur
en cyber sécurité
pourrait très bien le voir
sur un site.
Par contre,
si tu veux te faire quelqu'un
de précis,
c'est parfait, quoi.
Après, ça,
c'est de ce que je sais
de l'attaque.
Peut-être que
des états
ont plus de connaissance
sur les certificats
que nous
et qui arriveraient à faire ça,
mais en tout cas,
il n'y a pas de preuve
à verrer encore aujourd'hui.
Techniquement, c'est possible.
Parce que je pose la question,
parce que, en fait,
nous, on pense
en termes de réseaux locales,
parce qu'on a accès à ça.
Il faut voir qu'un réseau,
par définition,
c'est plein de nœuds.
Et donc,
il y a d'autres nœuds.
Par exemple,
les gens qui gèrent
des câbles sous-marins.
Par exemple,
il y a des très gros nœuds
sur Internet
par où passent énormément
de trafic
et où ce type
de vulnérabilité,
ça peut faire très mal.
En fait,
cette vulnérabilité,
elle remet en cause
presque 10 ans
de sécurité
avec le chiffrement.
On dit, non,
c'est bon,
tout le monde est en bord
et là-dessus,
on sait faire ça.
Aujourd'hui,
ça, ça remet en cause,
parce qu'en fait,

les gens ne comprennent pas
vraiment la vérification
de certificats,
mais même des développeurs
très techniques.
Et comme on l'a vu,
on a du Apple,
du Microsoft
qui ont refait
les mêmes heures du passé.
Et en parlant
avec certaines boîtes,
nous,
comme tu dis,
on a pété 10 boîtes
en une nuit
quand on était à la DevCon.
Et du coup,
on leur envoyait
toutes ces failles.
Et beaucoup,
on dit,
c'est super intéressant,
c'est les boîtes les plus matures
qui ont dit ça.
Et beaucoup ont dit,
en fait, c'est pas eligible,
c'est pas une vraie faille de sécurité.
Ouais, pourquoi ?
Parce que...
Ils ont justifié
cette révente.
Parce qu'ils disent que ça
ne rentre pas dans le périmètre,
ça, ça, ça,
ça a carré une complexité
d'attaque assez élevée,
parce qu'il faut être
sur le même réseau.
Et donc, ils veulent,
ils ont dit
que c'est pas forcément important.
Ouais, mais derrière,
ils ont patché.
Radin, mais Radin,
pas mal.
Alors ils disent ça,
mais derrière, ils ont patché,
je pense.
Non, je vais pas m'avancer
là-dessus, mais...
ils ont patché.
Et en fait,
j'ai posé la question
à des gens qui sont experts
sur iOS et Android
de pourquoi
ce ne serait pas
une faille de sécurité,
parce que moi,
quand on me dit quelque chose,
n'est pas quelque chose,
je veux comprendre pourquoi.
Et ils m'ont dit
que la faille est intéressante,
seulement si
la fonction qu'on est en train
de pirater
ou l'application
est vouée à être
utilisée dans des réseaux publics.
Donc, par exemple,
une installation
d'une app sur l'App Store
ou une mise à jour,
bon, ben là,
c'est possible que quelqu'un
le fasse publiquement
sur un réseau public.
Maintenant, si ton application
elle a 6000 downloads,
bon, ben va trouver
un utilisateur
dans le monde entier,
ça va être un peu plus compliqué.
Donc, c'est là
où il y a une complexité d'attaque
et c'est pour ça
que les boîtes plus matures,
plus grosses, vont dire
on est vulnérables à ça
parce qu'on a tellement d'utilisateurs
que c'est important,
les boîtes plus petites vont dire
finalement, c'est...
C'est un bug.
C'est pas une faille.
En probabilité d'attaque,
c'est très petit.
Après,
il y a cette complexité d'attaque.
Mais par contre,
ils ont aimé un truc,
c'est que dans
l'IOTI,
l'Artoire,
par exemple, on a parlé
de la PlayStation 5,
à Pau,
il a réussi
à péter
certains jeux vidéo
qui tournaient
sur la PlayStation 5
à travers cet attaque.
Et donc...
Et là, c'est chaud
parce qu'une PlayStation 5,
il y en a dans
beaucoup, beaucoup de foyers, quoi.
Ouais.
Et donc, ce qui est intéressant
avec ça,
c'est plutôt,
c'est une faille
qui est sur l'IOTI
et l'Artoire.
Et surtout, qu'on a beaucoup d'IOTI
qui émettent leur propre réseau wifi
et qu'on peut s'y connecter.
Et donc dépendant
de la feature, tout ça.
Mais
si on fait cet attaque
sur l'IOTI,
on peut,
pas forcément,
prendre contrôle.
Et en fait,
ça fait sens parce que
à Pau,
lui, il vient de l'IOTI.
C'est son métier.
Et c'est comme ça qu'en fait,
il a découvert,
en parlant avec lui,
une bière dans un bar,
il m'a un peu tout raconté
son histoire.
Et ce gars-là,
il cherche des failles de 2012
et il les trouve aujourd'hui en 2024.
Et qu'est-ce qui fait que
toi, tu l'avais pas trouvé ?
Non, je dis généralement.
Qu'est-ce qui,
tu pourrais dire,
c'est des trucs aussi énormes.
On a l'impression qu'on a toujours tout trouvé.
Même les gens qui sont
dans le Pentest et tout,
il y a un peu ce côté,
au début surtout, je pense,
effrayant d'eux.
Bah non,
mais tous les grands systèmes
de Microsoft, etc.
Ils sont incassables maintenant,
c'est fini.
Et en fait, non.
Je pense qu'on a créé
une zone de confort
et les gens ne sont pas sortis
de la zone de confort
et ont essayé de challenger
le status quo.
Et donc,
une fois que lui,
il a dit,
bah vous savez quoi,
moi je fais pas confiance
à tous ces gens-là.
Je sors de cette zone de confort
du TLS
et je vais aller chercher
la faille
et je vais la reproduire
encore une fois.
Et je pense que c'est là
où lui, il a été très intelligent.
En fait, il fallait revoir
toutes les conférences
entre 2005 et 2012.
C'est quelque chose qu'on fait
activement, hein.
Ouais, bah oui, bien sûr.
C'est...
Même avant sa conférence à lui,
nous, avec certains amis,
on regarde des failles de 2005
et on se pose la question
comment on peut la réappliquer
aujourd'hui.
Et ça, c'est un standard
dans la cyber-séculité offensive
de faire ça.
Et je pense que les plus grosses
failles
de nouvelles,
en fait, c'est juste de la
connaissance qu'on avait
déjà acquis,
mais qui a été oublié
avec le temps,
avec l'évaluation des technologies.
C'est énorme.
Et du rétro-hacking.
Exactement.
C'est génial.
Et aujourd'hui,
tu continues
d'utiliser cette faille-là
et de gagner des primes,
enfin, de découvrir des failles.
Ah oui ?
Du coup, ce que j'allais dire,
qu'est-ce qui te retient
de scanner
toutes les applications possibles
et imaginables ?
C'est juste automatiser
l'ouverture d'applications
sur toutes les pages.
Jusqu'à trouver la vulnérabité,
ça a un peu plus complexe.
Mais lui, en fait,
c'est pour ça qu'il avait
utilisé des étudiants
pour le faire.
Mais son outil
est automatisé
et automatisable,
à grande échelle,
c'est-à-dire qu'une entreprise
peut prendre la logique
de son outil
et dire, en fait,
je vais checker tout mon système
et voir si mes applications
ne sont pas vulnérables à ça.
Et donc ça,
c'est quelque chose
qu'on a essayé de réimplementer
pour envoyer des failles
et gagner un peu d'argent.
Mais est-ce que c'est pas
une machine à cache, en fait ?
Parce que, du coup,
tu as automatisé...
Bien de l'ic.
Oui, c'est clair.
Tu as automatisé le...
Moi, la première question,
je vais demander,
c'est pourquoi tu en as parlé.
T'aurais pu le garder pour toi,
tu aurais pu continuer
de faire pas mal d'argent avec,
et il m'a dit,
ça m'a ennuyé.
Et je voulais que,
je me disais,


je veux que ça fixe, en fait.
Il y a un moment où
l'argent, tu l'as,
tu as la zéga,
tu vois, t'es bien.
Et du coup,
il y a le fun
qui est rentré en compte.
C'est quoi ?
C'est beau.
Je trouve ça beau.
Il voulait tourner la page,
et il a dit,
au monde,
prenez cette faille,
faites de l'argent,
et ça va être cool.
Incroyable.
Merci, Ronis.
C'était vraiment une histoire de ouf.
Et surtout, je trouvais ça cool
de comprendre comment
ce genre de vulnérabilité
qui a l'air un peu sonne,
ça part du chiffre romant,
en tant que vrai.
Comment, de manière très concrète,
ça peut être utilisé
dans un scénario d'attaque
via une mise à jour,
via quelque chose comme ça.
Et de fait,
c'est exactement ce qui se passe
quand vous faites des tests
d'intrusion ou des trucs comme ça.
Souvent,
t'as besoin d'enchaîner
en réalité des différents types
de vulnérabilités.
Donc, je vais prendre le gros cliché,
mais si t'arrives
à t'introduire, par exemple,
physiquement,
dans une entreprise,
un moment,
tu vas accéder
un port RG45,
tu peux...
C'est bon,
tu viens de débloquer
l'accès au réseau.
Il y a le côté,
et maintenant,
si t'as ce genre de vulnérabilité,
tu peux après enchaîner
sur accéder
au serveur critique,
au PC du patron,
ou autre chose comme ça.
Exactement.
Il faut vraiment le voir,
le truc comme un maillon usile
dans une chaîne d'attaque aussi.
C'est clair que nous,
dans la recherche,
on s'arrête
à la preuve du concept
qu'une attaque est possible
sans trop aller chercher
des scénarios.
Mais par exemple,
ce truc de l'App Store,
moi, j'étais hyper choqué
de savoir
qu'Apple n'avait pas
réimplémenté
cette vérification.
Et donc,
à part ça,
on peut imaginer les scénarios
pour essayer de compromettre
des téléphones.
J'aime bien l'intrusion
dans une boîte,
prendre le contrôle du wifi
et peut-être attendre
que quelqu'un fasse une install.
Ça fait être très, très intéressant
pour effectivement
pirater la surface d'attaque
entière d'une entreprise.
J'y avais pas pensé.
Très cool.
D'un prochain,
je pense que c'est trop intéressant.
Bien, la prochaine fois
que tu as des petits trovailles,
tu viendras évidemment
avec très grand plaisir
de les présenter.
Ronny va
nous quitter
pour les prochaines parties,
mais n'hésitez pas
à aller voir
Tantul.
Je sais pas si on a le lien,
mais tu peux dire le nom
parce que je crois
que tout est déjà enraté.
Certes, M-I-T-M.
Certes, M-I-T-M.
Exactement.
Non, non, là,
tu parles du...
Je parle de ton outil.
Ah, Dépis.
Dépis.
Donc, n'hésitez pas à aller regarder
Dépis.
Et sur sûr,
on s'en va juste tout à l'heure
pour l'épisode.
Nikaï, merci beaucoup.